Derecho y empresa en entornos digitales

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d’ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L’empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l’article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s’inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d’obediència per part d’aquest empleat, l’empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l’article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d’un superior».

En aquest sentit, el Tribunal raona que, si bé l’ ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l’ article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ‘ article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l’ empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D’ aquesta manera, el Tribunal raona que l’ empresa pot ordenar la realització de treball retribuït fora d’ horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d’activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l’ exigència que la formació online de l’ article 227 del conveni s’ inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l’empresa per garantir el compliment del nombre d’hores de jornada exigit no implica la il·legalitat de l’ordre ni justifica la desobediència d’aquesta, ja que cal tenir en compte l’escàs nombre d’hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l’ ordre en relació amb l’ ordenació del temps de treball i descansos, no implica la vulneració d’ un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l’ ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l’ exigència que s’ inclogués en la jornada programable d’ activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Protecció de dades vs. mentides en el CV: Quan l’empresa creua la línia de la legalitat en la seva investigació

per

El 19 d’abril de 2024, el TSJ de Castella i Lleó (STSJ CL 1540/2024) declara improcedent l’acomiadament disciplinari d’una treballadora per mentir en el seu CV. L’empresa havia detectat irregularitats, i per això va demanar l’informe de vida laboral als treballadors per contrastar aquesta informació amb els seus currículums. Així és com van poder descobrir que en el d’aquesta empleada hi havia discrepàncies. No obstant això, el Tribunal ha declarat l’acomiadament com a improcedent a causa de l’ús il·lícit de les dades personals.

Fets

L’empleada, que va iniciar la seva relació laboral amb l’empresa el setembre del 2020, va aportar inicialment un currículum en el qual indicava que havia treballat com a operària de cadena al departament de soldadura a Renault. No obstant això, aquesta dada no apareixia en el currículum que va entregar el 2022; en el seu lloc, es va indicar una altra experiència professional com a operària de cadena que no es corresponia amb l’exposat al seu dia.

Aquell mateix any, arran d’un procediment intern de selecció, l’empresa va demanar als treballadors la remissió de la seva vida laboral i, en contrastar el currículum de la treballadora amb la seva vida laboral, es va observar la incongruència.

Per això, el març del 2022 l’empresa va procedir a notificar-li el seu acomiadament disciplinari, amb efectes a partir del 24 de juny i fonamentat en la seva transgressió a la bona fe contractual (article 54.2.d) de l’Estatut dels Treballadors.

No obstant això, l’empleada va impugnar l’acomiadament i va al·legar que s’ havia vulnerat el seu dret a la protecció de dades, atès que l’empresa va utilitzar el seu informe de vida laboral per justificar el seu acomiadament sense cap tipus de base legítima per a això.

Si bé el tribunal d’instància va declarar la procedència de l’acomiadament, la treballadora va recórrer al TSJ de Castella i Lleó, el qual ha declarat l’acomiadament com a improcedent.

Aquest TSJ ha reconegut l’ús il·lícit de les dades personals cedides per la treballadora que va realitzar l’empresa, atès que aquesta els va utilitzar per a un fi diferent al que se suposava—la treballadora havia lliurat l’informe voluntàriament per a processos de selecció, no per a una investigació disciplinària.

Així mateix, el Tribunal subratlla la il·licitud del tractament, indicant que s’ha vulnerat el dret a la protecció de dades de la treballadora, el qual considera com un dret fonamental protegit per l ‘article 18.4 de la Constitució espanyola

El Tribunal considera que aquesta vulneració és motiu suficient per afirmar la improcedència, atès que, en cas de prescindir de la informació obtinguda de la vida laboral de l’ empleada, l’ acomiadament mancaria de justificació. A més, destaca el defecte formal en la carta d’acomiadament, ja que aquesta no descrivia amb claredat la conducta sancionada i que la falta al·legada per l’empresa havia prescrit, doncs, des del coneixement de la suposada irregularitat al març de 2022 fins a l’acomiadament al juny de 2022, ja havien transcorregut més de 60 dies,  la qual cosa superava el termini legal per sancionar una falta molt greu.

El Tribunal Superior de Justícia de Castella i Lleó va condemnar l’empresa a readmetre la treballadora o abonar-li una indemnització de 5.462’42€, a més d’una indemnització addicional per danys morals de 3.000€, a causa de la vulneració del seu dret fonamental a la protecció de dades.

Conclusió

L’ empresa no va poder acreditar un interès legítim superior al dret fonamental a la protecció de dades de la treballadora, per la qual cosa la causa de l’ acomiadament va quedar invalidada. Aquesta decisió senta un precedent sobre els límits de les empreses per verificar CVs, prioritzant el compliment del RGPD fins i tot en casos de presumpta mala fe del treballador.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, faci clic aquí.

Treballes o et vigilen? La CNIL multa amb 40.000€ una empresa per controlar fins al segon d’inactivitat dels seus empleats

per

El 19 de desembre de 2024, l’autoritat de protecció de dades francesa (CNIL) va imposar una sanció de 40.000€ a una empresa del sector immobiliari per controlar els seus empleats sense informar, sense adoptar mesures de seguretat adequades i sense haver realitzat una EIPD.

Fets

Arran de diverses denúncies, la CNIL va realitzar una inspecció en la qual va observar que l’empresa filmava constantment els seus empleats i captava la imatge i el so, a més de mesurar el seu temps de treball i avaluar el seu rendiment de forma molt precisa gràcies al programa informàtic instal·lat als seus ordinadors.

El sistema de videovigilància captava constantment imatges i sons dels empleats del local, tant en els seus llocs de treball com en els espais de descans. A més, aquestes imatges podien ser visualitzades pels supervisors mitjançant una aplicació mòbil. Aquesta mesura no va ser justificada de cap manera, la qual cosa suposa una clara vulneració excessiva dels drets dels treballadors, així com del principi de minimització de dades (art. 5.1.c) RGPD).

D’altra banda, pel que fa al programari instal·lat als ordinadors dels empleats per monitorar la seva activitat, la CNIL va considerar que aquesta mesura era totalment desproporcionada i una vigilància especialment intrusiva. Aquest programari permetia, a més de comptar les hores de treball, saber si l’empleat no escrivia al teclat ni movia el ratolí en un període d’entre 3 i 15 minuts, en el qual també podien prendre’s captures de pantalla periòdiques. En cas de detectar aquests períodes d’ inactivitat, si no es justificaven o compensaven, s’ aplicava una deducció de salari.

La CNIL va indicar que aquest programa no era fiable, atès que els períodes d’aparent inactivitat podien correspondre a temps de treball efectiu en el marc de les seves funcions (com reunions o trucades telefòniques), per la qual cosa no hi havia una garantia que el programari complís amb la seva finalitat de forma correcta.

A més, el sistema, en permetre la captura de dades potencialment privades (com correus electrònics personals, converses de missatgeria instantània o contrasenyes confidencials), constituïa una vulneració desproporcionada de la privacitat, interessos i drets fonamentals dels treballadors, i el tractament de les dades mancava de fonamentació legal (art. 6 RGPD).

Així mateix, l’ empresa tampoc va proporcionar informació escrita suficient sobre el tractament que realitzava el programari de monitoratge, ni en documents d’ informació interns de l’ empresa ni en els contractes de treball i d’ estudi dels empleats, la qual cosa constitueix una infracció de l’ article 13 del RGPD.

En últim lloc, l’empresa tampoc va realitzar una avaluació d’impacte sobre la protecció de dades (EIPD) per al tractament que va realitzar en implementar el programa de monitoratge, la qual era necessària en haver-hi un alt risc per als drets i llibertats dels empleats.

Conclusió

El monitoratge excessiu i el control laboral sense prendre les mesures tècniques i organitzatives necessàries transgredeixen els drets dels empleats a nivells excessius. Cal recordar que sempre que es realitza un tractament de dades que afecta drets sensibles, s’ ha de realitzar amb cautela i actuant en el marc de la normativa de protecció de dades.

Com sempre, cuideu les dades i ¡cuideu-vos!

Per llegir la resolució, faci clic aquí.

Llei de Serveis Digitals (DSA) i marketing digital

per

La coneguda com Llei de Serveis Digitals (DSA) de la Unió Europea (Reglament UE), en vigor des de febrer de 2024, marca un abans i un després en el panorama del màrqueting digital. Aquesta normativa, dissenyada per crear un entorn en línia més segur i transparent, porta amb si canvis significatius que afecten directament les estratègies de màrqueting d’ empreses de totes les mides. En aquest article, explorarem com la DSA està transformant el màrqueting digital i què poden fer les empreses per adaptar-se a aquest nou escenari.

Principals canvis introduïts per la DSA

Més transparència en la publicitat

La DSA exigeix una major transparència en la publicitat online. Això implica:

  • Identificació clara dels anuncis i qui els patrocina
  • Explicació de per què un usuari està veient un anunci específic
  • Prohibició de publicitat dirigida basada en dades sensibles

Aquests canvis obliguen les empreses a repensar les seves estratègies de segmentació i a ser més transparents en les seves pràctiques publicitàries.

Restriccions en la publicitat adreçada a menors

Una de les mesures més significatives és la prohibició de la publicitat dirigida a menors basada en perfils. Això suposa:

  • Necessitat de desenvolupar estratègies de màrqueting alternatives per arribar al públic jove
  • Major èmfasi en el màrqueting de continguts i la publicitat contextual

Control de l’ usuari sobre les recomanacions

La llei atorga als usuaris més control sobre com se’ls mostren recomanacions:

  • Opció de no rebre recomanacions basades en perfils
  • Més transparència sobre com funcionen els sistemes de recomanació

Això implica que les empreses hauran d’ adaptar les seves estratègies de personalització i trobar noves formes d’ oferir contingut rellevant.

Adaptació de les estratègies de màrqueting

Enfocament en dades pròpies (first-party data)

Amb les restriccions en l’ ús de dades de tercers, les empreses han de:

  • Enfortir les seves estratègies de recopilació de dades pròpies
  • Millorar la qualitat i l’ anàlisi de les dades recopilades directament dels usuaris
  • Implementar sistemes robustos de gestió de consentiment

Auge del màrqueting contextual

El màrqueting contextual guanya rellevància com a alternativa a la publicitat basada en perfils:

  • Desenvolupament d’ estratègies publicitàries basades en el context del contingut
  • Major èmfasi en la rellevància i qualitat del contingut publicitari

Innovació en el mesurament i atribució

Les empreses necessitaran:

  • Desenvolupar nous mètodes de mesurament de l’ eficàcia publicitària
  • Implementar models d’atribució alternatius que no depenguin de cookies de tercers

Oportunitats emergents

Malgrat els desafiaments, la DSA també presenta oportunitats:

  • Millora de la confiança del consumidor a través de pràctiques més transparents
  • Impuls a la innovació en tecnologies de màrqueting respectuoses amb la privacitat
  • Possibilitat de destacar davant la competència mitjançant pràctiques ètiques i transparents

Conclusió

La Llei de Serveis Digitals representa un canvi de paradigma en el màrqueting digital. Tot i que planteja desafiaments significatius, també ofereix l’oportunitat de construir relacions més sòlides i confiables amb els consumidors. Les empreses que s’adaptin ràpidament a aquest nou entorn, prioritzant la transparència, l’ètica i la innovació, estaran més ben posicionades per tenir èxit en l’era post-DSA.

Està la teva estratègia de màrqueting preparada per a l’era DSA? No esperis més per adaptar les teves pràctiques i assegurar el compliment normatiu. Contacta amb el nostre equip d’experts en dret digital per a una avaluació personalitzada i descobreix com podem ajudar a navegar aquest nou panorama legal mantenint l’efectivitat de les teves campanyes.

El diable està en el detall

per

En un món on les promocions i sortejos són moneda corrent, la dita anglosaxona “El diable està en el detall” cobra un significat especial.

Aquesta història gira al voltant d’un consumidor la il·lusió del qual per guanyar una bicicleta elèctrica es converteix en una muntanya russa emocional. És un relat que destaca la importància que pot tenir la lletra petita o la falta d’ella, la reacció empresarial davant errors i els drets dels consumidors. Acompanyem-nos en aquest viatge d’expectatives, frustracions i solucions, on un simple correu pot tenir el poder de canviar-ho tot.

Els fets

Era un dia qualsevol quan el nostre protagonista, entusiasmat per la idea d’una mobilitat més sostenible, va decidir comprar un producte participant en una promoció. L’atractiu principal era el producte en si però també l’oportunitat d’entrar en el sorteig d’una bicicleta elèctrica. Amb els ulls brillants d’il·lusió i un tiquet de compra de tan sols 4,45€ en mà, s’imaginava ja recorrent els carrers de la ciutat en la seva nova bicicleta.

No obstant això, en obrir el paquet, el seu entusiasme es va esvair com un miracle. La promoció havia caducat. I aquest detall no s’advertia en l’embolcall. Aquell petit detall, no indicar –per error– la data fi de la promoció, va transformar la seva mínima inversió en un desencadenant de frustració desproporcionada. El que semblava una simple compra es va convertir en un símbol d’esperances truncades i promeses no complertes. La decepció era palpable, i amb ella creixia un sentiment de greuge. Aquest consumidor, amb el seu tiquet d’escàs valor en mà, estava a punt d’embarcar-se en una odissea de drets i reclamacions, subratllant com fins i tot la compra més petita pot desatendre una crisi inesperada.

Primera resposta de l’empresa, fregant la catàstrofe

La resposta inicial de l’empresa davant la queixa del nostre consumidor va ser un clar exemple de com no manejar una situació delicada. En lloc d’oferir una solució concreta o mostrar empatia genuïna, l’empresa va recórrer a un repertori de frases fetes i paraules buides. “Valorem els nostres clients”, “Lamentem les molèsties ocasionades”, eren frases que ressonaven sense substància. Aquesta aproximació genèrica i despersonalitzada només va servir per augmentar la frustració del consumidor, qui se sentia encara més desvaloritzat i ignorat.

La situació estava a punt de desembocar en una crisi de relacions públiques. El que va començar com una petita decepció per un tiquet de 4,45€ estava escalant a un descontentament palpable, posant de manifest la importància d’una comunicació acurada i considerada en el món empresarial.

Segona resposta de l’ empresa i la solució

Després del descontentament inicial, l’empresa va prendre un rumb diferent en la seva segona resposta. Aquesta vegada, van reconèixer el seu error i van adoptar un enfocament més humà i comprensiu. Es van comprometre a retornar els 4,45€ del tiquet i, en un gest de bona voluntat, van oferir enviar un petit obsequi al consumidor com a disculpa per les molèsties causades. Aquest canvi d’actitud va marcar un punt d’inflexió en l’experiència del client.

El reconeixement de l’ error i l’ oferta de compensació van transformar la situació. El que havia començat com una història de frustració i decepció va començar a prendre un matís de resolució i satisfacció. Aquest gest, tot i que petit, va demostrar que l’empresa estava disposada a escoltar i valorar els seus clients, restablint així la confiança perduda. La reacció del consumidor va ser positiva; tot i que encara decebut per no participar en el sorteig, apreciava l’esforç de l’empresa per esmenar el seu error.

Drets dels consumidors sota la Llei espanyola

Aquest incident ressalta la crucial importància del compliment de la llei en les pràctiques comercials, més enllà de les estratègies de màrqueting. Sota la legislació espanyola, els consumidors tenen drets que les empreses han de respectar. Això inclou la veracitat en la publicitat i l’ obligació d’ informar clarament sobre les condicions de les promocions. El cas del nostre consumidor i la bicicleta elèctrica no és només una qüestió de decepció; és un recordatori que les lleis estan dissenyades per protegir el consumidor de pràctiques enganyoses o confuses (encara que sigui per error, com en aquest cas), assegurant així una relació equitativa i transparent entre consumidors i empreses.

El poder d’un bon correu en la resolució de crisi

La crisi sorgida per la promoció caducada subratlla una veritat universal: les persones detesten sentir-se enganyades, fins i tot si és per error, i exigeixen que les seves queixes siguin ateses adequadament. En aquest cas, el poder d’un correu ben redactat va ser crucial. Una comunicació directa, que reconeix l’ error i ofereix una solució concreta, pot transformar una situació adversa en una oportunitat per enfortir la relació amb el client. Aquest enfocament demostra respecte i comprensió cap al consumidor, elements essencials per restaurar la confiança i prevenir danys majors a la reputació de l’ empresa. I així va ser en aquest cas.

Conclusió

L’odissea del nostre consumidor culmina amb una nota de reconciliació i obertura cap al futur. Malgrat la inicial decepció i frustració, la resposta final de l’empresa va aconseguir suavitzar les tensions i obrir un camí cap a la restauració de la confiança. El consumidor, reconeixent l’ esforç i la transparència mostrada, no descarta la possibilitat de futures interaccions amb l’ empresa. Aquest desenllaç ressalta una lliçó valuosa: els errors ocorren, però la forma en què una empresa els maneja pot convertir un client insatisfet en un lleial. Al final, com sol succeir, el diable estava en els detalls, però també ho va estar l’oportunitat de redempció i creixement.

I com sempre, confieu en la resolució dels conflictes per la via amistosa i cuideu-vos!

Google Chrome? No tan incògnit …

per

Google Chrome és, amb diferència, el cercador més utilitzat per els usuaris que naveguen per Internet. Molt per davant d’Edge, Safari i els altres. A més, el servei el proporciona una gran companyia -gran en tots els sentits- que fa que tinguem la percepció de que és un bon producte, mereixedor de tota la nostra confiança. Doncs bé, això no hauria de ser ben bé així, per la nostra seguretat i privacitat.

Chrome, com altres navegadors, disposa d’un mètode de navegació que denomina “incògnit”.  La RAE, en la segona accepció, defineix incògnit com “situació d’un personatge públic que actua com persona privada”.  Es a dir, persona que vol passar per desconeguda en el seu viatge virtual, en aquest cas, a la xarxa. I, sobretot, sentir-se segur i protegit.

Què es el mode incògnit?

En aquest mode, el navegador elimina les dades locals de la sessió de navegació a Internet. Vol dir que es bloquegen les cookies, no es registre l’historial de navegació i qualsevol altre rastrejador, arxiu temporal o barra d’eines de tercer es desactivarà. I això deixa moltes dades a les que el mode incògnit no afecta per res.

És tan “incògnit”?

Doncs no o al menys no ho és prou. Si inicies sessió en un lloc web, aquest t’identificarà i podrà seguir les teves activitats. No evitarà que els llocs que visites, el teu centre educatiu, la teva empresa o el teu proveïdor de servei de Internet puguin veure la teva activitat i ubicació. I tampoc evitarà que els llocs web que visites publiquin anuncis basats en la teva activitat durant una sessió d’incògnit.

El missatge que destapa l’assumpte

Com sempre, el diable està en els detalls. La cap de màrqueting de Goggle, Lorraine Twohill, va enviar un correu a Sundar Pichai (CEO de Google) advertint-li que els clients estaven confosos respecte el funcionament del mode incògnit i. “Fes que el mode incògnit sigui realment privat” va escriure. Twohill ho va enviar després de que varis usuaris presentessin una demanda col·lectiva multimilionària per suposa seguiment dels usuaris mentre feien servir aquest mode.

Fins i tot els empleats van avisar

La cosa ve de lluny. Ja el 2018, un empleat va compartir un informe que demostrava que els usuaris no entenen realment com funciona i no saben que no protegeix la seva privacitat com ells es penses.  Per aquest empleat, “cal deixar de anomenar-lo incògnit i de fer servir un icona amb un espia” perquè porta a equivoc sobre les seves característiques.  

Recopila les nostres dades per mostrar publicitat

Google no se’n amaga i ho explica en un enllaç però ningú ho llegeix. Us resulta familiar no llegir las informacions addicionals o el termes i condicions d’ús de les apps? Doncs això. Aquest enllaç de “Més informació” està ben visible a la pàgina inicial i explica què no fa el mode d’incògnit.

En resum

Al final, “business is business” i si fos realment d’incògnit, Google no faria negoci amb les nostres dades que ven als anunciants. Per part nostra, el podem fer servir, com diu Google, per qüestions innocents com comprar un regal per un familiar que comparteix ordinador o per si salta el banner de cookies, com fem els professionals de la privacitat. For d’això, més val que feu servir DuckDuckGo per tenir una mica més de privacitat. I queda pendent per un altre dia parlar de Tor.

Com sempre, cuideu-vos!

Coses que no pots fer quan vols contractar persones

per

Ja hem parlat altres vegades del que es pot fer i com, i del que no es pot fer quan vols contractar a una persona per l’empresa. Hi ha unes regles del joc que, quan no es segueixen, donen pas a conseqüències no desitjades, com és el cas que avui ens ocupa.

Podem resumir l’assumpte explicant que una advocada va optar a una vacant en una empresa a través d’un portal d’ocupació. Poc després la candidata va esbrinar que l’empresa havia fet indagacions sobre ella consultant sense autorització un fitxer de morosos i va presentar una reclamació davant l’Agència Espanyola de Protecció de Dades (AEPD) que ha procedit a sancionar a l’empresa.

Segons el procediment sancionador de l’Agència, l’empresa Alquiler Seguro, SA oferia, a través de InfoJobs una plaça d’advocada. La reclamant es va inscriure en la esmentada oferta. I l’empresa, abans de trucar-la, va fer prèviament una consulta a Asnef  (Associació Nacional d’Establiments Financers de Crèdit) per conèixer la seva situació. Al no figurar en el registre, a continuació la van trucar.

Setmanes més tard, arrel d’unes gestions que l’advocada va fer amb Asnef, li van remetre un històric de consultes en la que, per sorpresa de la reclamant, apareixia la consulta de Alquier Seguro SA. Considera l’advocada que estem davant d’un accés al fitxer per una finalitat diferent de la prevista. L’empresa ho ha fet en el marc d’un procés de selecció de personal i no per valorar la seva solvència de cara a una futura relació comercial.

L’AEPD imputa a la part reclamada la comissió d’una infracció per vulneració de l’Article 6.1 del RGPD, per falta de legitimació en el tractament ja que, al seu entendre l’actuació de l’empresa no s’ajusta a cap dels supòsits que preveu la norma. L’empresa, per la seva part, va al·legar, entre altres, que aquesta situació podia haver-se donat per un error humà perquè a l’hora d’introduir el DNI de la candidata a “Asnef empresas” o va fer a “Servicio Bureau Crédito”.

Finalment, l’Agència imposa una sanció de 70.000€ que, amb el reconeixement de la responsabilitat manifestat en termini i la reducció per pagament voluntari de la sanció, queda en 42.000€. No és un import petit. Aprofitem per recordar que el reconeixement de la responsabilitat que dona peu a la reducció, fa que a efectes pràctics acabi amb la via contenciosa de reclamació.

En resum, l’empresa va fer un tractament de dades no legitimat perquè no comptava amb el consentiment (o un altre base legitimadora) per fer-ho. I això, segons la LOPDGDD, és una infracció molt greu. La contractació de persones a les empreses tenen que seguir, com amb tot, unes regles de joc. En el post citat al començament se’n recullen les principals.

Com sempre, cuideu-vos!

Si no pagues els serveis amb diners, ho fas amb les teves dades!

per

Això no és nou. Des de fa temps sabem que tot allò que ens donen “gratuïtament” ho estem pagant amb les nostres dades personals. Ens baixem una app per fer, posem per cas, de brúixola i ens demanen consentiment per accedir a les nostres dades, als contactes, a la nostre ubicació, a les fotografies i els vídeos i a un llarg etc. de dades.  

Tenint en compte que en el nostre telèfon tenim de mitja unes dos-centes aplicacions instal·lades, ja ens podem anar fent una idea de l’escampada de dades que hi ha.

Però tampoc cal que sigui una app, ni tan sols que la transacció es faci a Internet. Les targetes de pagament com VISA o les de fidelització de qualsevol comerç, acumulen al llarg del temps una gran quantitat de dades que permeten fer perfils molts acurats dels individus.

Què mengem, quants som a casa, de quines edats, estatus econòmic, dificultats per arribar a final de mes, quines són les nostres preferències en alimentació, viatges, música i tantes altres coses. I tot a canvi de miserables punts o algun descompte de tant en tant.

Fins aquí tot el que sabíem però ara, CaixaBank, ens ha obert encara més els ulls. I de manera francament desagradable, per dir-ho suaument. Perquè l’Agència Espanyola de Protecció de Dades l’ha sancionat amb 2.100.000€ per condicionar la prestació del consentiment als seus clients. Una multa de 2.000.000€ per condicionar l’obtenció del consentiment a l’exempció de comissions bancàries. I, una segona, perquè en el formulari de consentiment les caselles estaven premarcades. Pràctica molt habitual (també passa amb les cookies) que, en aquest cas, ha estat sancionada amb 100.000€.

Sí, heu llegit bé. Segons l’AEPD, el banc condicionava l’exempció de comissions a l’atorgament del consentiment per part del client per rebre comunicacions comercials i per cedir les seves dades a les entitats del Grup Bankia. El Reglament Europeu, diu clarament que “el consentiment quedarà invalidat per qualsevol influencia o pressió inadequada exercida sobre l’interessat que impedeixi que aquest exerceixi la seva lliure voluntat”. L’Agència valora com agreujant el gran número de clients, prop d’un milió, que havien prestat el consentiment per rebre publicitat i cedir les dades a Bankia.

La segona multa es deu q la inobservança del requisit d’obtenir el consentiment d’una manera lliure, específica, informada i inequívoca, incomplint el RGPD per quant “el silenci, les caselles premarcades o la inacció no han de constituir consentiment”. Aquesta invalidesa comporta una falta de legitimació que infringeix l’article 6.1 RGPD.

Aquestes notícies creen neguit en la societat, més si venen d’una institució que molts considerem senyera. D’una empresa de referència com aquesta i per la naturalesa del seu negoci, s’espera que, a més complir la normativa vigent, apliquin els més alts estàndards ètics en el tracte als seus clients. La sanció econòmica no tindrà més transcendència però la reputació del Banc se’n veurà afectada.  

Com diu el xef José Andrés, “lo important és que ens cuidem els uns als altres”. Podem començar perquè les empreses ens cuidin. I, no descuidem, vigilar nosaltres mateixos!

UE – EEUU, llum al final del túnel?

per

Pocs dies enrere, va saltar la noticia que la UE i els EEUU havien arribat a un acord per transferir, entre els dos espais, dades personals, garantint-ne la privacitat. La transferència de dades estava suspesa des del passat 2020, quan el Tribunal de Justícia de la Unió Europea (TJUE) va anul·lar l’acord anomenat “Privacy Shield” al considerar que els EEUU no oferien suficients garanties per la privacitat dels ciutadans europeus.

Aquest anunci del President Biden s’ha de prendre, com sempre, amb molta cautela, per varies raons. Primer, perquè per el que sembla, estem davant d’una declaració d’intencions. Segon, perquè, de ser així, hi ha molta feina per endavant i no és una qüestió que es resoldrà en unes setmanes. I, tercer, perquè, o molt ens equivoquem però costa creure que Max Schrems (l’activista que va impulsar les demandes que van donar origen a l’anul·lació) es conformi sense presentar batalla.

Ja n’hem parlat de la qüestió en diverses ocasions (1,2,3,4) però fem un resum de com hem arribat fins aquí.

Tot i que el RGPD preveu altres mecanismes per blindar la privacitat de les dades en les transferències internacionals (per exemple, les SCC –Standard Contractual Clauses– o les BCR –Binding Corporate Rules) és evident que un acord marc d’adhesió per part de les empreses americanes com el Privacy Shield facilitava molt les coses, a tots dos costats de l’Atlàntic. Les empreses americanes només tenien que adherir-se amb un auto-certificat a els principis establerts per el Departament de Comerç dels EEUU. I les empreses, a més de complir amb les seves obligacions, només tenien que assegurar-se que l’empresa que tractava les dades estava en la llista. Aquest plantejament va saltar per els aires el juliol del 2020 amb l’esmentada sentencia.

I que suposa que l’Escut de Privacitat no estigui en vigor? Doncs que anem cap a dos anys d’incompliment continuat. Google, Facebook, Mailchimp i totes les empreses americanes que donen servei a empreses europees estan en fals. I les empreses europees estan, directament, incomplint perquè transfereixen dades sense garanties. De vegades de forma molt grollera com pot ser el cas de Mailchimp i d’altres, de forma més subtil com pot ser fent servir Google Analytics.             

I que diu el comunicat que pretén resoldre la situació?

Doncs literalment diu que “Avui hem aconseguit un acord sense precedents sobre la protecció de la privadesa de les dades i la seguretat dels nostres ciutadans”. L’acord “permetrà el flux de dades entre la UE i els EUA de forma predictible, fiable, equilibrant la seguretat, els drets a la privadesa i la protecció de dades”, va assegurar Von der Leyen. I, segons Biden, que es reprengui el flux de dades tindrà un impacte positiu estimat en uns 6.500 milions d’euros.

Interessos econòmics versus privacitat. I, està clar, al final hem d’aconseguir el millor d’ambdós aspectes: permetre el la transferència de dades sense perjudicar a les empreses i la seva economia però mantenint la privacitat que emana del RGPD. Per aquesta és la garantia de la prosperitat per les economies occidentals.

Com sempre, vigileu les vostres dades i cuideu-vos!

Indústria publicitària: com afectarà el nou RD sobre publicitat d’aliments i begudes per a menors?

per

Aquesta setmana, el Ministeri de Consum ha presentat l’esborrany del Reial Decret que regularà l’emissió de publicitat d’aliments i begudes per a menors de 16  anys. El document, que estarà en tràmit d’audiència i informació pública fins el proper 29 de març, té com objectiu “garantir la protecció dels drets a la salut i el desenvolupament integral de la infància”.

Dos són els grans objectius del Reial Decret:

1) Definir un marc regulatori mínim per la protecció de la salut de la infància i l’adolescència.

2) Promocionar acords de corregulació i codis de conducta en l’àmbit de les comunicacions comercials sotmeses a la norma.

A fi de justificar el Reial Decret, el Ministeri fa una llarga exposició de motius, incloent nombroses referencies a estudis de l’Organització Mundial de la Salut (OMS), de l’Autoritat Europea de Seguretat Alimentària (EFSA) i altres de caràcter nacional com el que assegura que a España, quatre de cada deu escolars entre 6 i 9 anys pateixen excés de pes, A més l’obesitat i el sobrepès afecta especialment a sectors vulnerables de la població.

La norma limita i redueix l’exposició del públic infantil i adolescent a la publicitat dels aliments i begudes considerats poc saludables. I va dirigida als menors de 16 anys amb accés a contingut publicitari a través de mitjans com televisió, premsa i revistes infantils, pàgines web o xarxes socials.

I quines són les principals restriccions i prohibicions? Per el que afecta a la indústria publicitària, destaquem:

  • Evitar l’ús de elements de fantasia com dibuixos animats.
  • No presentar els aliments i les begudes en quantitats excessives.
  • Prohibir comunicacions que suggereixin que la compra aportarà èxit social, popularitat o qualitats especials de qui apareix en els anuncis.
  • Prohibir comunicacions comercials que incitin als menors a demanar als familiars que els hi comprin el producte anunciat.

El RD també inclou prohibicions específiques de fer publicitat en 5 categories de productes:

  • Xocolata i productes de confiteria, barretes energètiques, cobertures de dolços i postres
  • Pastissos, galetes dolces i brioxeria i altres productes de pastisseria
  • Sucs
  • Begudes energètiques i
  • Gelats

Respecte els productes no afectats de forma específica, es podran publicitar sempre que no excedeixin determinades quantitats de sodi, sucre, edulcorants, greixos totals i saturats per cada 100 gr. de producte.

També s’inclouen prohibicions específiques pel que fa a les comunicacions comercials com que apareguin “mares o pares, educadors, docents, professionals de programes infantils, esportistes, artistes, influencers, persones o personatges de rellevància, notorietat pública o proximitat amb el públic infantil, sigui reals o de ficció, que per la seva trajectòria siguin susceptibles de constituir un model o exemple per les persones menors d’edat”.

També es prohibeix fer promocions dirigides al públic infantil que publicitin aliments que no respectin els límits mencionats.

Destacar, per últim, les restriccions sobre la publicitat a Internet dels productes limitats o prohibits. En els serveis d’intercanvi de vídeos a través de plataformes o xarxes social, només es permetrà en plataformes que disposin de mecanismes eficaços per evitar que les comunicacions es dirigeixin al públic infantil i permetin el bloqueig d’anuncis emergents per part dels usuaris. La publicitat  en pàgines web i aplicacions també queda supeditada a que disposin de mecanismes similars.

Per últim, el règim sancionador remet a la Llei 17/2011, de 5 de juliol, sobre Seguretat Alimentària que preveu sancions fins a 600.000€ per les infraccions més greus en la matèria.

Caldrà seguir l’evolució del text legal durant l’exposició pública i veure com queda la norma definitiva. Però, prenem nota i comencem a preveure els possibles escenaris que es poden plantejar i a pensar en alternatives. La previsió és sempre bona consellera.

Com sempre, Cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web