Ricard Castellet

Dia Europeu de la Protecció de Dades 2024

per

El 28 de gener de cada any, se celebra el Dia Europeu de la Protecció de Dades. En una època marcada per la transformació digital, aquest dia no és només una commemoració; és un recordatori vital de la importància de salvaguardar la informació personal i empresarial. Per als directius de les petites i mitjanes empreses (PIMES) , aquesta data simbolitza una oportunitat per reflexionar i actuar sobre com gestionen i protegeixen les dades en les seves organitzacions.

La protecció de dades ja no és només una qüestió de compliment legal, sinó un aspecte crític que influeix en la confiança i la reputació d’una empresa. En un món cada vegada més connectat i digitalitzat, els directius de les PIMES s’enfronten a desafiaments únics. No només s’han d’assegurar que les seves empreses compleixin amb les regulacions vigents, sinó també preparar-se per als canvis futurs en el panorama de la privacitat de dades. El Dia Europeu de la Protecció de Dades 2024 ens ofereix una excel·lent oportunitat per explorar aquests temes i entendre millor com poden impactar a les PIMES .

La Creixent Importància de la Protecció de Dades

Expansió Digital i Vulnerabilitats de Dades en el Context Actual

L’era digital ha portat amb si un creixement exponencial en la quantitat de dades generades, recopilades i processadores. Aquest fenomen, impulsat per l’ avenç tecnològic i l’ adopció massiva d’ Internet, ha transformat radicalment la forma en què les empreses operen. No obstant això, aquest avanç també ha creat noves vulnerabilitats. Les bretxes de seguretat, els ciberatacs i l’ús indegut de dades personals són amenaces cada vegada més comunes, que poden tenir conseqüències devastadores tant per a individus com per a empreses.

Per a les PIMES, que sovint tenen recursos limitats per a la gestió de dades i la seguretat informàtica, aquest entorn representa un desafiament particular. La protecció de dades ja no és només una qüestió de compliment legal, sinó una necessitat crítica per salvaguardar la integritat empresarial i la confiança dels clients.

Reptes de la Protecció de Dades per al 2024

Nous Desafiaments a l’Era de la Intel·ligència Artificial

A mesura que avancem cap al 2024, el panorama de la protecció de dades enfronta reptes cada vegada més complexos, particularment amb la proliferació de la Intel·ligència Artificial (IA). Aquestes tecnologies, tot i que ofereixen innombrables beneficis, també presenten riscos significatius en termes de privacitat i seguretat de dades. La IA, per exemple, pot processar i analitzar grans volums de dades personals, cosa que planteja preguntes sobre el consentiment, la transparència i el control sobre aquestes dades.

Per a les PIMES, això significa navegar per un terreny encara més complicat. S’ hauran de mantenir al dia amb les últimes tecnologies i les seves implicacions en la privacitat de dades, alhora que s’ asseguren de complir amb les regulacions existents i emergents. L’adaptació a aquests canvis no només és crucial per evitar sancions legals, sinó també per protegir el seu actiu més valuós: la confiança dels seus clients.

Impacte Específic en les PIMES

Les PIMES, en particular, enfronten desafiaments únics en aquest context. Moltes d’ aquestes empreses estan en el procés de digitalització i poden no tenir els recursos o l’ experiència necessaris per abordar eficaçment els riscos de seguretat de dades. A més, el dinàmic panorama legal europeu i espanyol exigeix una constant actualització i adaptació.

Les PIMES han de prioritzar l’ educació i capacitació en protecció de dades, així com la inversió en solucions de seguretat i privacitat adequades. A més, és fonamental que aquestes empreses comprenguin no només les seves obligacions legals, sinó també el valor estratègic d’ una gestió de dades eficaç i segura en la construcció de relacions sòlides i duradores amb els clients.

Conclusió

A les portes del Dia Europeu de la Protecció de Dades 2024, és crucial que les PIMES reconeguin la importància d’estar al dia amb les tendències i desafiaments en la protecció de dades. El compliment no és només una qüestió de legalitat, sinó un factor clau per a la confiança del client i la reputació empresarial. En abraçar aquests desafiaments i preparar-se per als canvis legislatius, les PIMES poden no només protegir la seva informació i la dels seus clients, sinó també posicionar-se com a empreses responsables i a l’avantguarda en l’era digital.

Instem els directius de PIMES a prendre aquest dia com un moment de reflexió i acció. La inversió en protecció de dades és una inversió en el futur de la seva empresa i en el de tots.

I, sobretot, Cuideu-vos!

El diable està en el detall

per

En un món on les promocions i sortejos són moneda corrent, la dita anglosaxona “El diable està en el detall” cobra un significat especial.

Aquesta història gira al voltant d’un consumidor la il·lusió del qual per guanyar una bicicleta elèctrica es converteix en una muntanya russa emocional. És un relat que destaca la importància que pot tenir la lletra petita o la falta d’ella, la reacció empresarial davant errors i els drets dels consumidors. Acompanyem-nos en aquest viatge d’expectatives, frustracions i solucions, on un simple correu pot tenir el poder de canviar-ho tot.

Els fets

Era un dia qualsevol quan el nostre protagonista, entusiasmat per la idea d’una mobilitat més sostenible, va decidir comprar un producte participant en una promoció. L’atractiu principal era el producte en si però també l’oportunitat d’entrar en el sorteig d’una bicicleta elèctrica. Amb els ulls brillants d’il·lusió i un tiquet de compra de tan sols 4,45€ en mà, s’imaginava ja recorrent els carrers de la ciutat en la seva nova bicicleta.

No obstant això, en obrir el paquet, el seu entusiasme es va esvair com un miracle. La promoció havia caducat. I aquest detall no s’advertia en l’embolcall. Aquell petit detall, no indicar –per error– la data fi de la promoció, va transformar la seva mínima inversió en un desencadenant de frustració desproporcionada. El que semblava una simple compra es va convertir en un símbol d’esperances truncades i promeses no complertes. La decepció era palpable, i amb ella creixia un sentiment de greuge. Aquest consumidor, amb el seu tiquet d’escàs valor en mà, estava a punt d’embarcar-se en una odissea de drets i reclamacions, subratllant com fins i tot la compra més petita pot desatendre una crisi inesperada.

Primera resposta de l’empresa, fregant la catàstrofe

La resposta inicial de l’empresa davant la queixa del nostre consumidor va ser un clar exemple de com no manejar una situació delicada. En lloc d’oferir una solució concreta o mostrar empatia genuïna, l’empresa va recórrer a un repertori de frases fetes i paraules buides. “Valorem els nostres clients”, “Lamentem les molèsties ocasionades”, eren frases que ressonaven sense substància. Aquesta aproximació genèrica i despersonalitzada només va servir per augmentar la frustració del consumidor, qui se sentia encara més desvaloritzat i ignorat.

La situació estava a punt de desembocar en una crisi de relacions públiques. El que va començar com una petita decepció per un tiquet de 4,45€ estava escalant a un descontentament palpable, posant de manifest la importància d’una comunicació acurada i considerada en el món empresarial.

Segona resposta de l’ empresa i la solució

Després del descontentament inicial, l’empresa va prendre un rumb diferent en la seva segona resposta. Aquesta vegada, van reconèixer el seu error i van adoptar un enfocament més humà i comprensiu. Es van comprometre a retornar els 4,45€ del tiquet i, en un gest de bona voluntat, van oferir enviar un petit obsequi al consumidor com a disculpa per les molèsties causades. Aquest canvi d’actitud va marcar un punt d’inflexió en l’experiència del client.

El reconeixement de l’ error i l’ oferta de compensació van transformar la situació. El que havia començat com una història de frustració i decepció va començar a prendre un matís de resolució i satisfacció. Aquest gest, tot i que petit, va demostrar que l’empresa estava disposada a escoltar i valorar els seus clients, restablint així la confiança perduda. La reacció del consumidor va ser positiva; tot i que encara decebut per no participar en el sorteig, apreciava l’esforç de l’empresa per esmenar el seu error.

Drets dels consumidors sota la Llei espanyola

Aquest incident ressalta la crucial importància del compliment de la llei en les pràctiques comercials, més enllà de les estratègies de màrqueting. Sota la legislació espanyola, els consumidors tenen drets que les empreses han de respectar. Això inclou la veracitat en la publicitat i l’ obligació d’ informar clarament sobre les condicions de les promocions. El cas del nostre consumidor i la bicicleta elèctrica no és només una qüestió de decepció; és un recordatori que les lleis estan dissenyades per protegir el consumidor de pràctiques enganyoses o confuses (encara que sigui per error, com en aquest cas), assegurant així una relació equitativa i transparent entre consumidors i empreses.

El poder d’un bon correu en la resolució de crisi

La crisi sorgida per la promoció caducada subratlla una veritat universal: les persones detesten sentir-se enganyades, fins i tot si és per error, i exigeixen que les seves queixes siguin ateses adequadament. En aquest cas, el poder d’un correu ben redactat va ser crucial. Una comunicació directa, que reconeix l’ error i ofereix una solució concreta, pot transformar una situació adversa en una oportunitat per enfortir la relació amb el client. Aquest enfocament demostra respecte i comprensió cap al consumidor, elements essencials per restaurar la confiança i prevenir danys majors a la reputació de l’ empresa. I així va ser en aquest cas.

Conclusió

L’odissea del nostre consumidor culmina amb una nota de reconciliació i obertura cap al futur. Malgrat la inicial decepció i frustració, la resposta final de l’empresa va aconseguir suavitzar les tensions i obrir un camí cap a la restauració de la confiança. El consumidor, reconeixent l’ esforç i la transparència mostrada, no descarta la possibilitat de futures interaccions amb l’ empresa. Aquest desenllaç ressalta una lliçó valuosa: els errors ocorren, però la forma en què una empresa els maneja pot convertir un client insatisfet en un lleial. Al final, com sol succeir, el diable estava en els detalls, però també ho va estar l’oportunitat de redempció i creixement.

I com sempre, confieu en la resolució dels conflictes per la via amistosa i cuideu-vos!

La Lliga (LFP) sota Vigilància

per

En una era on la tecnologia s’entrellaça cada vegada més amb la vida quotidiana, la privacitat de les dades s’ha convertit en un tema de discussió fonamental. Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha posat el focus en La Lliga de Futbol Professional (LFP) per l’ús de sistemes de reconeixement facial als estadis. Aquest avís no només ressalta els desafiaments que enfronten les grans organitzacions, sinó que també envia un missatge crucial a les empreses en general sobre la importància de navegar amb cura en el complex món de la biometria i la protecció de dades.

De fet, ja ens referim al tema setmanes enrere quan l’AEDP va publicar la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La publicació va suposar un important canvi de postura de l’ Agència respecte a l’ ús de la biometria en l’ accés i el control laboral.

Reconeixement Facial i Privacitat

El reconeixement facial, una forma de biometria, s’ha utilitzat cada vegada més per millorar la seguretat en llocs públics, incloent estadis esportius. Tot i que aquestes tecnologies ofereixen beneficis significatius en termes de seguretat, també generen preocupacions considerables sobre la privacitat i els drets individuals. L’AEPD ha cridat l’atenció sobre aquest equilibri delicat, emfatitzant la necessitat de complir amb regulacions estrictes, com el RGPD.

La resposta de La Lliga (LFP)

Davant les advertències de l’AEPD, La Lliga ha defensat el seu ús de sistemes de reconeixement facial, argumentant que el seu principal objectiu és garantir la seguretat als estadis.

La Lliga sosté que aquesta tecnologia ajuda a identificar individus que puguin representar una amenaça, com aquells amb prohibicions d’accés o implicats en actes violents previs. Aquesta justificació es basa en la premissa que la seguretat col·lectiva pot requerir mesures més robustes, tot i que intrusives.

 Tanmateix, aquesta posició planteja un important debat: fins on pot arribar una organització en la implementació de tecnologies de vigilància sota la premissa de la seguretat, sense vulnerar els drets individuals de privacitat?

I aquest debat afecta també totes les empreses i organitzacions.

Implicacions per les empreses

A falta de veure com es resol el contenciós entre La Lliga i l’AEPD, i a l’espera de veure si La Lliga és capaç de trobar suport jurídic per a les seves pretensions, les empreses han de ser conscients que qualsevol tecnologia intrusiva, especialment aquelles que processen dades biomètriques, requereix una anàlisi exhaustiva en termes de compliment normatiu, previ a la seva aplicació. És fonamental que les empreses avaluïn no només els beneficis de seguretat i eficiència que aquestes tecnologies poden oferir, sinó també l’ impacte en la confiança i la privacitat dels individus. Adoptar un enfocament transparent i responsable, alineat amb les directrius de l’ AEPD i el RGPD, és essencial per evitar sancions i preservar la reputació de l’empresa.

Conclusió

L’advertència de l’AEPD a La Lliga per l’ús de reconeixement facial en estadis és un recordatori oportú per a les empreses sobre la importància d’equilibrar la innovació tecnològica amb el respecte a la privacitat i la normativa de protecció de dades. Aquest cas subratlla la necessitat d’ un maneig acurat i ètic de tecnologies potencialment intrusives, instant les empreses a considerar no només els avantatges operatius, sinó també les implicacions legals i socials de la seva implementació.

Som a les portes d’una nova edició del Mobile World Congress (MWC) a celebrar a Barcelona. L’any passat van fer un ús intensiu del reconeixement facial per a la gestió de l’accés dels visitants. Veurem quina solució apliquen aquest any.

Mentrestant, cuideu-vos molt!

Fi de l’ús de l’empremta dactilar per l’accés al centre de treball?

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentment una Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La Guia representa tot un repte per a l’ adopció de sistemes d’ identificació biomètrica, ja que l’ AEPD ha revisat els seus criteris i aclarit els requisits essencials per al tractament de dades. I no posa gens fàcil.

Segons el Reglament General de Protecció de Dades (RGPD), les dades biomètriques es consideren una categoria especial de dades quan s’utilitzen per identificar de manera única a una persona. L’AEPD ha aclarit que aquestes dades només es poden processar en circumstàncies excepcionals, com ara amb el consentiment explícit de la persona o si és necessari per al compliment de les lleis laborals o els drets de protecció social i hi ha una base legal per fer-ho.

La Guia indica que les disposicions legals anteriors que es pensava que legitimaven aquests sistemes biomètrics són insuficients, ja que no esmenten expressament el processament de dades biomètriques ni proporcionen les proteccions de privacitat necessàries per als empleats. A més, el consentiment dels empleats tampoc es considera una base vàlida per a la legitimació a causa del desequilibri de poder inherent entre empresaris i empleats.

La conclusió és que esdevé extremadament difícil, si no impossible, utilitzar sistemes d’identificació biomètrica per a aquests propòsits en les empreses, sense una regulació específica europea o espanyola o un acord de negociació col·lectiva que proporcioni normes clares i garanties.

Com a alternatives als controls biomètrics, les solucions podrien incloure mètodes tradicionals com fulls de signatura manuals, targetes clau electròniques, codis PIN o aplicacions mòbils que permeten registres basats en la ubicació. Aquestes alternatives es preveuen menys invasives per a la privacitat, s’alineen amb el principi de minimització de dades del RGPD i encara complir amb els requisits operacionals del lloc de treball.

L’impacte per a les empreses dels nous criteris de l’AEPD en reconèixer la biometria com mancada de legitimació per al tractament de dades és significatiu. Les empreses hauran de reconsiderar l’ús de sistemes de control biomètric, ja que la Guia limita fortament aquestes pràctiques. Sense una base legal específica, consentiment explícit (molt complicat de fer servir en la pràctica per el desequilibri entre empresa i treballador i tenir que superar el judici d’idoneïtat) o acords col·lectius amb garanties adequades, les empreses no podran utilitzar dades biomètriques per a controls de presència o accés.

Tot això pot requerir canvis operatius significatius i, com dèiem, la implementació de mètodes alternatius de control de presència que respectin la privacitat i la protecció de dades dels empleats.  L’Agència, fins i tot, recomana explorar opcions que ni siguin tecnològiques com, per exemple, la utilització de recursos humans. Vaja, posar un vigilant a la porta, com s’ha fet tota la vida. En fi …

D’ara en endavant, no poseu el dit enlloc i cuideu-vos!

Passes en la bona direcció 

per

La protecció de dades és un tema de creixent importància a la societat digital d’avui. Recentment s’han donat diversos desenvolupaments significatius en aquest camp, al marge de l’omnipresent Intel·ligència Artificial de la que cada dia es generen notícies cada cop més preocupants. Es a dir, passes en la bona direcció.

Per exemple, L’Agència Espanyola de Protecció de Dades (AEPD) acaba de publicar una Guia sobre l’ús de sistemes biomètrics per al control d’accés, establint criteris clars per a ús tant en entorns laborals com no laborals. Aquest avenç destaca la necessitat d’equilibrar la seguretat i la privadesa en l’ús de tecnologies avançades. Recordem, a més, que les dades biomètriques són, a criteri del RGPD, de categoria especial d’alt risc, per la qual cosa hem de tenir una cura especial en el seu tractament.

D’altre banda, TikTok s’ha unit al Canal Prioritari de l’AEPD, una mesura que subratlla el compromís de la plataforma amb la protecció de dades dels usuaris. Aquesta col·laboració sorgeix després de l’ordre de l’AEPD de retirar uns 30 continguts amb material sexual i violent el 2023, la qual cosa posa de manifest la responsabilitat de les plataformes digitals en el maneig i la moderació del contingut. L’empresa ha establert, fins i tot, una via de comunicació per atendre amb urgència els requeriments que li traslladi l’AEPD en cas de continguts que posin en risc els drets i llibertats o la salut física o mental de les persones afectades.

A més, la Unió Europea ha prohibit a Meta (Facebook) mostrar anuncis basats en el comportament dels usuaris en plataformes com Instagram i Facebook. Aquesta decisió és un clar exemple de com les regulacions estan evolucionant per protegir millor la privadesa i les dades personals dels usuaris en un entorn digital cada vegada més intrusiu. La Comissió de Protecció de Dades (DPA) ha assenyalat que s’ha de d’imposar una prohibició del tractament de dades personals segons el comportament dels usuaris, una decisió que tindrà efecte en tot l’Espai Econòmic Europeu (EEE).

Aquests casos reflecteixen una tendència global cap a una supervisió i regulació més grans en l’àmbit de la protecció de dades. Les empreses i les organitzacions són cridades a adoptar pràctiques més transparents i responsables en el maneig d’informació personal. Aquest enfocament no només és crucial per salvaguardar la privadesa dels individus, sinó també per mantenir la confiança en l’ecosistema digital.

En resum, la protecció de dades personals s’ha convertit en una prioritat al món digital. Les regulacions i guies recents, com les emeses per l’AEPD i la UE, són passos importants per garantir que els avenços tecnològics no comprometin la privadesa i seguretat dels usuaris. Les empreses i plataformes s’han d’adaptar a aquests canvis, prioritzant la protecció de dades personals en les operacions i estratègies de negoci. Aquestes mesures són fonamentals per construir un entorn digital més segur i fiable per a tothom.

Així que ja ho sabeu, cuideu la vostra privadesa i cuideu-vos!

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

El DNI “i dos ous durs”

per

Recordem la cèlebre frase de Groucho Marx a la pel·lícula “Una noche en la ópera”. En un camarot abarrotat, Groucho fa la comanda de menjar al cambrer i cada vegada afegeix un plat a la llista. Noi, un altre germà, diu: “I també dos ous durs“, i Harpo, el tercer germà mut, fa sonar la botzina per indicar que, en comptes de dos, posi tres ous. I així diverses vegades.

M’he recordat d’aquesta frase en relació a l’Informe 48/2023 de l’Agència de Protecció de Dades del passat setembre, en el qual posa de manifest la decisió de posar fre a la pràctica que les empreses demanin còpies del DNI per identificar els ciutadans per qualsevol qüestió. És un costum arrelat que empreses i Administració demanin tota sort de documentació al ciutadà i a més “també còpia del DNI” (si és possible per les dues cares).

Existeix una tradició heretada de la derogada Llei Orgànica de 1999, que establia com a procediment oficial per a l’exercici de drets l’obligatòria entrega d’una còpia del DNI (o NIE o document equivalent). Aquesta pràctica segueix duent-se a terme sense que ningú se la qüestioni perquè “sempre s’ha fet així” i perquè sembla que ofereixi més seguretat al tràfic jurídic.

En el seu Informe, l’ AEPD considera que l’ ús de DNI pot resultar excessiu o directament innecessari per complir amb la finalitat d’ identificació.

Quins problemes planteja?

El número del DNI no és una dada de categoria especial però sí que és una dada sensible, ja que el seu mal ús o abús pot generar efectes desfavorables per al seu titular.

La suplantació d’identitat és un perjudici molt habitual ja que poden realitzar-se moltes gestions com donar d’alta contractes o comptes corrents, registrar-se en llocs web de pornografia o joc online, fins i tot, demanar un duplicat de la targeta SIM.

I també suposa un repte de seguretat de la informació per a les empreses que realitzen els tractaments perquè han d’emmagatzemar els DNIs, en format analògic o digital, i assegurar la seva transmissió a tercers. Per a companyies que manegen cents de milers de documents, fins i tot de milions, a l’any, no és un problema menor. Una bretxa de seguretat en aquests casos pot ser devastadora per a la seva reputació, sancions al marge.

Què és el principi de minimització?

Està consagrat a l’article 5.1.c) “Les dades personals seran adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades («minimització de dades»). És a dir, només podem tractar com a responsable únicament aquelles dades que són estrictament necessàries per a la finalitat perseguida.

Què diu l’Agència?

L’ Agència parteix de recordar el principi de responsabilitat proactiva, que recull el RGPD, de manera que cada responsable haurà de valorar els casos d’ ús concrets que se li presentin, i fer judicis de ponderació si fos necessari, i veure si és procedent o no demanar el DNI o tractar el número o guardar una còpia per als seus registres. I, si cal demanar-ho, quines mesures de protecció especial s’han d’aplicar.

I en l’Informe, l’Agència exposa uns criteris generals com que la sol·licitud del número o còpia del DNI no es pot instaurar per defecte i que cal analitzar cada supòsit concret.

I tampoc es pot demanar una còpia del DNI per a l’ exercici de drets per part de l’ interessat.

Com en tot, hi ha excepcions. Per exemple, es pot demanar el DNI per complir amb la normativa en les activitats de prevenció del blanqueig de capitals i el finançament del terrorisme perquè la llei l’empara.

Sancions

Les sancions són cada vegada més freqüents i d’ import més elevat. Missatgeria (per fotografiar el DNI), hotels i plataformes com AirBnb (per demanar còpia per fer la reserva), entitats bancàries per demanar el DNI per fer un tràmit i, fins i tot, una sanció de 300.000 € a una empresa de selecció de personal per vulnerar l’article 5.1.c) del RGPD (minimització de dades) i una infracció de l’article 12 RGPD en l’àmbit de l’exercici dels drets de l’interessat.

Solucions

No hi ha una solució única. Cada responsable haurà de revisar els seus casos d’ús i veure quines dades necessita i recollir només aquestes. O, si necessita la còpia del DNI, justificar-ho.

I veure si hi ha alternatives menys costoses per a l’usuari.

Hi ha al mercat solucions tècniques que permeten, per exemple, escanejar un document apantallant (ofuscant, excloent, pixelant la imatge, etc.) determinats camps el que permet guardar només aquells estrictament necessaris.

O enviar codis alfanumèrics al telèfon mòbil que permetrà la identificació de l’usuari.

Conclusions

La pràctica de demanar el DNI per a tot ha de decaure. I s’ha de fer un esforç per part de tothom perquè s’escometi la reforma dels sistemes de les empreses al més aviat possible. I prendre mesures també encausat, dels quals parlarem un altre dia. Com sempre, cuideu-vos!

Noves “smart glasses” de Meta i Ray-Ban: tecnologia que espanta

per

Meta ha anunciat en el seu esdeveniment Meta Connect 2023 les seves noves ulleres intel·ligents en col·laboració amb Ray-Ban. És la segona generació de les Ray-Ban Meta Smart Glasses, que han estat dissenyades per EssilorLuxottica i es posaran a la venda als EUA el pròxim 17 d’octubre amb un preu inicial de 299 dòlars (no se sap encara quant costaran a Espanya).

La combinació de la experiència d’un gran fabricant d’ulleres com Ray-Ban amb una plataforma tecnològica capdavantera ha donat a llum un producte tremendament avançat, amb possibilitats gaire bé infinites i a un preu assequible.

Les especificacions tècniques són, senzillament, brutals. Càmera millorada de 12 MP, emissió en directe a Instagram i Facebook, àudio millorat, trucades i missatges, comandaments de veu, touchpad i botó de captura, estoig de carga i, naturalment no podia faltar, Meta AI per trobar la informació en el moment precís des de les teves ulleres. Disposa també d’una App dedicada.

I el disseny és Ray-Ban. Amb això ho diem tot. Des de l’estoig quasi convencional (però que emmagatzema 8 càrregues) fins a dos dissenys icònics: Wayfarer i Headliner, en diferent colors. Són lleugeres, a la moda i amb més de 150 combinacions de muntures i vidres. I, naturalment, es poden graduar a petició.

I, fins aquí, la part brillant de la noticia. Però, com les monedes, tot té dos cares. I el revers és, como quasi sempre, la privacitat. No oblidem que estem parlant de Meta, una companyia que s’ha destacat sempre per tenir un absolut menyspreu per les dades personals dels seus usuaris.  

Només cal recordar l’escàndol de Cambridge Analytica que va desvetllar que l’empresa va accedir indegudament a dades de milions d’usuaris de Facebook per influir a les eleccions.

I, des de l’entrada en aplicació del RGPD el 2018, Meta ha enfrontat multes rècord i litigis relacionats amb la privacitat de les dades en diversos països, inclosos Estats Units i els països membres de la Unió Europea, a causa de la seva gestió de la informació de l’usuari. Aquests han inclòs problemes amb el consentiment de l’usuari i el compartir dades amb tercers sense permís explícit.

Un altre problema important que té Meta és l’ús de dades de l’usuari per fer publicitat dirigida, mitjançant, algoritmes per mostrar contingut i anuncis personalitzats. Aquesta pràctica ha aixecat crítiques en relació  amb la privacitat i l’autonomia de l’usuari.

Tantes han estat les crítiques i tant el debat en els mitjans o a les xarxes que, finalment, Facebook va tenir que canviar el seu nom corporatiu a Meta.

 I, ara, després de la iniciativa del Metavers (que de moment no arrenca), presenta la segona generació d’ulleres intel·ligents. I, es clar, el primer que pensem és en l’horror de milions d’usuaris recopilant dades, en tot moment i lloc, en foto, vídeo àudio i pujant-les en directe a les xarxes socials.

Haurem de veure la Política de Privacitat de Meta per aquest supòsit però, permeteu-me no ser gaire optimista veient-ne la trajectòria fins ara. Això sí, les ulleres són una “passada” i qui sap si tindran èxit i aviat tots portarem ulleres intel·ligents amb la mateixa naturalitat que portem rellotge.

De moment, però, cuideu-vos!

Espanya, un pas endavant en la supervisió de la Intel·ligència Artificial

per

En efecte, l’Agència Espanyola d’Intel·ligència Artificial (AESIA) començarà a funcionar en un termini màxim de tres mesos. A finals d’agost, el Consell de Ministres va aprovar l’Estatut d’aquest organisme, que s’adscriu al Ministeri d’Assumptes Econòmics i Transformació Digital. Espanya es converteix així en el primer país europeu en tenir un òrgan d’aquestes característiques. Però comencen per el principi.

Què és la intel·ligència artificial?

La intel·ligència artificial (IA) és un subcamp de la informàtica que busca crear sistemes capaços de realitzar tasques que requereixen intel·ligència humana. Aquestes tasques poden incloure, però no es limiten a, la comprensió del llenguatge natural, la percepció visual, la presa de decisions, la resolució de problemes i l’aprenentatge a partir de dades o experiències anteriors.

La IA es basa en diferents tècniques i teories, incloent-hi els algoritmes de cerca, la lògica, el reconeixement de patrons, l’aprenentatge automàtic, les xarxes neuronals, la robòtica, entre d’altres.

Què és la intel·ligència artificial generativa?

I com tot avança a tota velocitat, ara ja disposem de IA generativa. La intel·ligència artificial generativa es refereix a sistemes d’IA que poden generar contingut nou que no ha estat prèviament vist. En lloc de simplement analitzar dades i extreure’n informació (com ho faria un sistema d’IA “discriminatiu”), els sistemes generatius poden crear dades que semblen noves i originals.

Això fa que els problemes que planteja la IA és multipliquin.

Perquè necessitem regular la IA?

Les raons són múltiples. Podem citar-ne unes quantes com conductes d’ètica dubtosa que afectin a la privacitat dels individus, raons de seguretat si la IA es fa servir per atacar sistemes de ciberseguretat, opacitat dels algoritmes que amaga com es prenen les decisions, biaix en la presa de decisions que afecti a la igualtat de les persones, responsabilitat en cas de decisions errònies preses per la IA, estimular la innovació cap a direccions positives per la societat, fer aportacions decisives en el camp econòmic i laboral si la IA està ben orientada, protegir el consumidor o, per últim, per coordinar la nostra regulació amb la d’altres països, a la manera, per exemple, com s’ha fet amb la protecció de dades a Europa.

La clau és trobar un equilibri entre protegir la societat i els drets individuals sense frenar la innovació i el desenvolupament tecnològic.

Quin pas ha donat Espanya?

El Govern ha explicat que aquesta estratègia inclou diferents plans estratègics, entre ells l’Estratègia Nacional d’Intel·ligència Artificial (ENIA) , que té com a objectiu donar un marc de referència per al desenvolupament d’una intel·ligència artificial “inclusiva, sostenible i centrada en la ciutadania”.

L’Estratègia forma part del Pla de Recuperació, Transformació i Resiliència (PRTR) , que pretén situar Espanya com a país capdavanter en intel·ligència artificial (IA). L’AESIA s’adscriu al Ministeri d’Afers Econòmics i Transformació Digital mitjançant la Secretaria d’Estat de Digitalització i Intel·ligència Artificial.

Amb la creació d’aquesta agència, Espanya es converteix en el primer país europeu que té un òrgan d’aquestes característiques i s’anticipa a l’entrada en vigor del Reglament europeu d’intel·ligència artificial.

La figura del DPD en la aplicació de la IA

El Delegat de Protecció de Dades, professional que revisa el compliment de la normativa de privacitat a les empreses i organismes, és la figura idònia per supervisar la utilització de la IA. Com diu l’AEPD, “el DPD, fins i tot en els casos que no sigui obligatori, pot ser de gran utilitat en aquelles entitats que empren solucions basades en IA i que tracten dades personals, o  que desenvolupen solucions d’IA que fan ús de dades personals per a l’entrenament dels models. A tenir-ho present.

Conclusions

El món de la IA, tant apassionant com ple de perills i incerteses, ha irromput amb força en la nostra societat. I encara només hem vist el principi. Si som capaços de fer-la nostra, tot minimitzant les desavantatges i potenciant les avantatges per tots, no per uns quants, estic convençut que estem davant del que els americans en diuen un ”game changer”.  Molt disruptiu, potser, fins i tot, superant l’eclosió d’Internet. Veruem.

 

Mentrestant, cuideu-vos!

Revisió Texts legals web