Derecho y empresa en entornos digitales

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

Indústria publicitària: com afectarà el nou RD sobre publicitat d’aliments i begudes per a menors?

per

Aquesta setmana, el Ministeri de Consum ha presentat l’esborrany del Reial Decret que regularà l’emissió de publicitat d’aliments i begudes per a menors de 16  anys. El document, que estarà en tràmit d’audiència i informació pública fins el proper 29 de març, té com objectiu “garantir la protecció dels drets a la salut i el desenvolupament integral de la infància”.

Dos són els grans objectius del Reial Decret:

1) Definir un marc regulatori mínim per la protecció de la salut de la infància i l’adolescència.

2) Promocionar acords de corregulació i codis de conducta en l’àmbit de les comunicacions comercials sotmeses a la norma.

A fi de justificar el Reial Decret, el Ministeri fa una llarga exposició de motius, incloent nombroses referencies a estudis de l’Organització Mundial de la Salut (OMS), de l’Autoritat Europea de Seguretat Alimentària (EFSA) i altres de caràcter nacional com el que assegura que a España, quatre de cada deu escolars entre 6 i 9 anys pateixen excés de pes, A més l’obesitat i el sobrepès afecta especialment a sectors vulnerables de la població.

La norma limita i redueix l’exposició del públic infantil i adolescent a la publicitat dels aliments i begudes considerats poc saludables. I va dirigida als menors de 16 anys amb accés a contingut publicitari a través de mitjans com televisió, premsa i revistes infantils, pàgines web o xarxes socials.

I quines són les principals restriccions i prohibicions? Per el que afecta a la indústria publicitària, destaquem:

  • Evitar l’ús de elements de fantasia com dibuixos animats.
  • No presentar els aliments i les begudes en quantitats excessives.
  • Prohibir comunicacions que suggereixin que la compra aportarà èxit social, popularitat o qualitats especials de qui apareix en els anuncis.
  • Prohibir comunicacions comercials que incitin als menors a demanar als familiars que els hi comprin el producte anunciat.

El RD també inclou prohibicions específiques de fer publicitat en 5 categories de productes:

  • Xocolata i productes de confiteria, barretes energètiques, cobertures de dolços i postres
  • Pastissos, galetes dolces i brioxeria i altres productes de pastisseria
  • Sucs
  • Begudes energètiques i
  • Gelats

Respecte els productes no afectats de forma específica, es podran publicitar sempre que no excedeixin determinades quantitats de sodi, sucre, edulcorants, greixos totals i saturats per cada 100 gr. de producte.

També s’inclouen prohibicions específiques pel que fa a les comunicacions comercials com que apareguin “mares o pares, educadors, docents, professionals de programes infantils, esportistes, artistes, influencers, persones o personatges de rellevància, notorietat pública o proximitat amb el públic infantil, sigui reals o de ficció, que per la seva trajectòria siguin susceptibles de constituir un model o exemple per les persones menors d’edat”.

També es prohibeix fer promocions dirigides al públic infantil que publicitin aliments que no respectin els límits mencionats.

Destacar, per últim, les restriccions sobre la publicitat a Internet dels productes limitats o prohibits. En els serveis d’intercanvi de vídeos a través de plataformes o xarxes social, només es permetrà en plataformes que disposin de mecanismes eficaços per evitar que les comunicacions es dirigeixin al públic infantil i permetin el bloqueig d’anuncis emergents per part dels usuaris. La publicitat  en pàgines web i aplicacions també queda supeditada a que disposin de mecanismes similars.

Per últim, el règim sancionador remet a la Llei 17/2011, de 5 de juliol, sobre Seguretat Alimentària que preveu sancions fins a 600.000€ per les infraccions més greus en la matèria.

Caldrà seguir l’evolució del text legal durant l’exposició pública i veure com queda la norma definitiva. Però, prenem nota i comencem a preveure els possibles escenaris que es poden plantejar i a pensar en alternatives. La previsió és sempre bona consellera.

Com sempre, Cuideu-vos!

Ets europeu? Doncs la guerra d’Ucraïna no és l’única amenaça

per

La setmana passada recollíem el conflicte de Google amb la legislació de protecció de dades de la UE. De fet, el Supervisor Europeu acabava, res menys, de sancionar al Parlament Europeu per infringir el RGPD al utilitzar, precisament, Google Analytics. Podeu llegir el post aquí.

I ara toca, no podia faltar l’inefable Mark Zuckerberg. Amenaça amb tancar Facebook i Instagram a Europa. L’advertència s’enquadra en la guerra que Meta, la matriu de Facebook, Instagram y Whatsapp, té amb les lleis europees de protecció de dades.

El problema té la mateixa arrel que amb Google Analytics, MailChimp i una llarga llista d’empreses americanes que no compleixen amb la legislació europea. Tot ve de la sentència  que va anul·lar l’acord denominat Privacy Shield entre la UE i els EEUU el passat estiu del 2020. I ja ho vam explicar en el seu dia (‘Efecte Brussel·les’: cop de puny de la UE sobre la taula). I la UE està disposada a fer valer el Dret de la Unió.

I per si això no ha quedat clar, la UE donar dos passes definitives en el sentit regulador: la recent Llei de Serveis Digitals (DSA) que ha aprovat el Parlament Europeo (que encara no entrarà en vigor fins que es negociï amb la Comissió i el Consell Europeu) n’és una i, l’altre, la Llei de Mercats Digitals.

Respecta a la primera, i en paraules del comissari de competència de la UE, “És hora de posar ordre en el salvatge oest digital. Hi ha un nou sheriff a la ciutat, que es diu DSA”. EL resum de la Llei seria que el que és il·legal a la vida real, hauria de ser-ho online. La Llei es centra en crear un entorn digital més segur per els usuaris i les empreses digitals, a través de la protecció dels drets fonamentals en línia. La Llei aborda, entre altres, el comerç i intercanvi de béns, serveis i continguts il·legals en línia i, molt important, els sistemes algorítmics que amplien la propagació de la desinformació.

I respecte a la segona, complementària de la primera, pretén igualar les condicions per a totes les empreses digitals, independentment de la seva mida. Fixa regles clares sobre el què les grans plataformes de Internet poden i no poden fer dins la UE. Busca promoure la innovació, el desenvolupament i la competitivitat, ajudant a les empreses més petites i a les noves empreses a competir amb les grans.

Com dèiem en el post, Europa és un mercat únic molt envejable, entre altres coses, per el seu gran poder adquisitiu. Serà suficient perquè els gegants tecnològics es sotmetin a les lleis europees? És lo de Facebook una fanfarronada per pressionar a les autoritats europees? Què farà Google amb Google Analytics?

Veurem el que passa en els propers mesos però, el que estar clar, és que la UE vol, i probablement se’n sortirà, marcar el pas. Wait and see.

Mentrestant, cuideu-vos!

Què en saps de Google Analytics?

per

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies  de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren  transferits al Estats Units sense suficient garanties de protecció.  El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes  Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!  

Publiques fotos dels teus treballadors a la web o a les xarxes socials?

per

Doncs cal anar en compte. L’AEPD ha sancionat a una empresa amb 9.000 euros per publicar a la seva web i xarxes socials fotos d’un treballador sense el seu consentiment.

Perquè publicar imatges d’un treballador sense permís és sancionable però no fer cas de les peticions per retirar-les encara més. Això és el que li ha passat a una empresa de formació que ha estat sancionada amb 9.000 € per tractar les dades del treballador sense consentiment (6.000 €) i no atendre les demandes per eliminar las imatges de les xarxes socials (Facebook i Instagram), uns altres 3.000 €. A més del cost reputacional, és clar. No és cap broma.

Així ho ha entès l’AEPD en la seva Resolució de Procediment Sancionador. L’empresa va publicar fotografies de la treballadora sense consentiment. I la treballadora va demanar a l’empresa, al menys en dos ocasions, que retiressin les fotografies en les que apareixia, sense que l’empresa atengués la seva petició. Després de intentar-ho una segona vegada, de nou sense èxit, la treballadora afectada va presentar una reclamació, el novembre de 2020, davant l’AEPD.

L’Agència va intentar posar-se, per diferents vies, en contacte amb l’empresa sense aconseguir-ho. Va quedar acreditat que l’empresa havia dut a terme un tractament de dades consistent en haver pujat les fotografies a la seva pàgina web i a les seves xarxes socials. No consta que l’exhibició de les imatges estigués emparada per cap base legitimadora del art. 6 RGPD (per exemple, el consentiment), quedant acreditada la comissió de la infracció.

Per agreujar-ho més si és possible, l’empresa no va atendre el dret de supressió de la interessada, emparat per l’article 17 RGPD, i no va excloure les dades personals del seu tractament. Segons aquest article “l’interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin”. I el responsable estarà obligat a suprimir sense tardar les dades personals quan, entre altres condicions, es doni la que recull l’apartat “d) les dades personals hagin estat tractades il·lícitament”.

Per graduar les sancions, l’Agència considera que els tractaments venen de lluny -des del 2017 al 2020-, la quantitat no és escassa i l’abast és important ja que figuren en dos xarxes socials i la pròpia web de l’empresa. Respecte a la infracció per no atendre el dret de supressió de l’article 17 RGPD, l’Agència relata que es va sol·licitar en dos ocasions, sense obtenir cap resposta, el que posa de manifest un manca de compliment en els deures que li corresponen a l’empresa.

Aprenguem la lliçó. No es poden publicar imatges dels treballadors sense el seu consentiment. Atenguem les peticions de supressió que ens facin. La manca de diligència és imperdonable. I un recordatori. Quan un treballador deixa l’empresa (acomiadat o per voluntat pròpia), recordem suprimir les imatges en les que apareix (web, xarxes, fulletons, anuncis, etc.). Tret, es clar, que no tinguem el seu consentiment exprés.

Com sempre, Cuideu-vos!

FanPages, compliment obligat del RGPD

per

Arran d’una consulta empresarial, fem aquest post per aclarir conceptes sobre la relació entre les FanPages i el RGPD. La resposta curta és que sí, les empreses que les fan servir han de complir amb la normativa de protecció de dades.

Començarem per explicar, per qui no ho sàpiga, què és una FanPage. Las fanpages són una funcionalitat que Facebook va introduir ja fa anys. És una pàgina creada especialment per ser un canal de comunicació amb fans dins de la xarxa social.

A diferència dels perfils, són espais que reuneixen a persones interessades sobre un assumpte, empresa, una causa o algun tret en comú sense la necessitat de l’aprovació d’amistat. És el fan qui tria si seguirà o no les actualitzacions d’una determinada pàgina.

Són canals de comunicació molt apreciats per les empreses perquè és una forma econòmica, ràpida, senzilla i quantificable de comunicar en temps real amb clients potencials. Una espècie de televisió o ràdio o diari però amb uns costos infinitament més econòmics.

Les preguntes que ens feia l’empresari eren bàsicament dos: estem obligats a complir amb el RGPD i, si és així, què hem de fer?

A efectes de la normativa de protecció de dades, aquestes pàgines funcionen com una pàgina web. Recullen dades personals dels usuaris i, per tant, s’ha d’aplicar la mateixa normativa, és a dir, proporcionar accés a l’Avís legal, a la Política de Privacitat i a la Política de Cookies de l’empresa. I naturalment que tota la documentació compleixi la normativa vigent. Si a més, com és freqüent, l’empresa instal·la el píxel de seguiment de Facebook, amb més motiu. Però del píxel ja en parlarem un altre dia.

Dit això i entenen que és una pàgina situada en una plataforma en la que l’empresa té molt poc marge de maniobra, convé establir qui és realment el responsable de les dades personals, l’empresa o Facebook. Doncs tots dos.

Una sentència de juny de 2018 del Tribunal de Justícia de la Unió Europea va resoldre que el concepte de responsable del tractament comprenia també a l’administrador d’un pàgina web allotjada en una xarxa social. Segons la sentència, tot i que Facebook tracta les dades personals mitjançant cookies sense informar a l’empresa, no és menys cert que FB posa a disposició de l’empresa estadístiques (anonimitzades) dels visitants i que l’empresa pot definir criteris a partir dels quals s’han d’elaborar les estadístiques i, fins i tot, designar les categories de persones les dades de les quals seran objecte d’explotació per part de FB. La sentència conclou que l’administrador de la pàgina ha de ser qualificat com responsable del tractament conjuntament amb FB.

Per tant hem de complir: informar de les dades i la seva finalitat, recollir el consentiment explícit per el tractament, demanar només les dades necessàries, no fer servir les dades per finalitat diferent a la demanada, no conservar les dades més temps del necessari, implementar mesures i organitzatives adequades, atendre les sol·licituds d’exercici dels drets dels usuari i crear la corresponent activitat en el Registre.

Com sempre, atents a tots els detalls de compliment. I si teniu dubtes, consulteu-nos.

I el més important, cuideu-vos!

Competència deslleial, compte que vénen corbes!

per

Poc a poc, sense pressa però sense pausa, la legislació es va posant a to pel que fa a Internet. Davant de nous reptes, el legislador, tot i que amb retard, va ajustant el dret a les conductes que necessiten regulació. I aquest és el cas amb el nou Reial Decret-Llei 24/2021 que, entre altres coses, introdueix noves mesures per prohibir la publicitat encoberta en xarxes socials i evitar les  ressenyes falses en els béns o serveis en la venda a través de Internet.

El Decret, que transposa diverses directives de la Unió Europea, modifica tant la Llei General per la Defensa dels Consumidors i Usuaris com la Llei 3/1991, de 10 de gener, de Competència Deslleial. Les modificacions entraran en vigor el 28 de maig de 2022, a excepció de l’apartat setzè de l’article 82 relatiu a les dades personals del consumidor o usuari, l’entrada en vigor del qual està prevista per a l’1 de gener de 2022.

Pel que fa a la primera, defensa de consumidors i usuaris, s’afegeixen dos nous apartats a l’article 20, relatiu a la Informació necessària en l’oferta comercial de béns i serveis. El primer fa referència a nous requisits de transparència en els motors de recerca ja que serà obligat facilitar els criteris que s’han tingut en compte per posicionar els resultats i la seva rellevància. La informació ha de mostrar-se junt als propis resultats.

El segon es refereix a les ressenyes i indica que s’haurà de informar al consumidor si es garanteix que han estat fetes per compradors validats del producte i cal explicar com es processen.

Quan a les modificacions en la Llei de Competència Deslleial es reforma l’article 26 que fa referència a les Pràctiques comercials encobertes. A partir d’ara ho seran aquelles que no especifiquin que es tracta  d’un contingut publicitari les  informacions destinades a promocionar un producte o servei pagant l’empresari o el professional encarregat de la promoció. I en l’article següent, s’afegeixen com pràctiques enganyoses afegir ressenyes de consumidors i usuaris sense garantir que són reals o contractar a tercers per incloure valoracions de consumidors falses amb la finalitat de promocionar productes o serveis.

En definitiva, més mesures de seguretat per augmentar la protecció del consumidor a Internet. Moltes vegades, per presses o perquè prenem decisions veient la informació en el mòbil, els consumidors i usuaris estan desemparats i s’equivoquen amb conseqüències imprevisibles. I a les empreses i als professionals de la promoció enviar-los el missatge de que, a banda de complir amb la legislació vigent, convé que vagin desestimant pràctiques que contradiuen la bona fe imprescindible per el tràfic comercial pròsper.

Com sempre, ¡Cuideu-vos!

Registre de Jornada i Dades biomètriques, una relació difícil

per

El tractament de dades biomètriques sempre comporta una dificultat afegida com és la de realitzar l’obligatòria Avaluació d’Impacte (AIPD). La identificació biomètrica implica el tractament de categories especials de dades per a les quals el Reglament requereix garanties reforçades. Les identificacions més comunes d’aquest tipus són la facial i l’empremta digital. D’aquesta última i de les conseqüències de fer-ho malament en parlem en aquest post.

I és que l’AEPD acaba de sancionar a una empresa per implantar indegudament un registre de jornada laboral mitjançant l’empremta digital. En la resolució s’imputa a la reclamada que, al tractar-se de dades de categoria especial i existint l’obligació  de fer una Avaluació d’Impacte, va incomplir l’article 35 RGPD. Aquest article diu que quan sigui probable que el tractament, en especial si es fan servir noves tecnologies, pot comportar un alt risc per els drets i llibertats de les persones físiques, el responsable realitzarà, abans del tractament, una Avaluació d’Impacte de les operacions de tractament en la protecció de dades personals.

En la Resolució, l’AEPD considera que l’empresa tractava dades de categoria especial, dades biomètriques, però l’empresa insisteix en que la tecnologia emprada és la de verificació / autenticació biomètrica que no entra en la categoria especial de dades i, en conseqüència, no exigiria la realització d’AIPD. Les dades d’identificació biomètrica que permeten identificar de manera unívoca a una persona física serien les que obligarien a realitzar l’Avaluació, com és el cas que ens ocupa.

També senyala la Resolució que existeixen mitjans menys intrusius per mantenir aquest tipus de registres i que la tecnologia emprada no superava el necessari judici de proporcionalitat que es tenia que haver fet i que hi ha sistemes alternatius com, per exemple, targetes identificatives.

Des del punt de vista laboral, l’Agència considera que les empreses no haurien d’emparar-se en el consentiment com base legitimadora del tractament, tret que es tracti de casos excepcionals. I això perquè no es parteix d’una posició d’equilibri entre les parts perquè en la relació laboral hi ha una relació de subordinació. El consentiment només pot ser vàlid si l’interessat pot realment triar i no existeix  un element de compulsió, pressió o incapacitat per exercir la lliure voluntat. A més, ha de ser possible retirar-lo en qualsevol moment, sense cost ni desavantatge per l’interessat, i s’han d’oferir alternatives. Per últim, els interessats tenen dret a la supressió de les dades quan el consentiment s’ha retirat.

Com a conclusió, val dir que la tecnologia de reconeixement biomètric és molt invasiva, que cal distingir entre identificació biomètrica (requereix AIPD) i autenticació biomètrica, menys intrusiva, i que hi ha sistemes més proporcionats per portar el control de la jornada horària dels treballadors. I tenir tot això en compte perquè la multa ha estat de 20.000€.

Com sempre, cuideu-vos!

Octubre: Mes Europeu de la Ciberseguretat (2021)

per

A punt de deixar enrere el proclamat Mes Europeu de la Ciberseguretat (2021), aprofitem per fer algunes consideracions respecte un tema que, tot i les evidències que tenim dia a dia, no acaba d’arrelar en la consciència dels usuaris, de les empreses ni fins i tot de l’Administració Pública.

El lema de la campanya d’enguany és “Abans de fer clic, pensa”. És un eslògan simple però, precisament per això, fàcil de recordar i carregat de sentit. La seguretat comença per no fer clic sense saber que pot tenir conseqüències. A partir d’aquí, hem de ser conscients que la seguretat comença per un mateix.

“Els ciberatacs posen en risc els nostres negocis, les nostres infraestructures crítiques, les nostres dades i el funcionament  de les nostres democràcies”, assegura el Vicepresident europeu per la Promoció del nostre Mode de Vida Europeu.

Estem abocats, cada cop mes, a viure en un món digital (un altre dia parlarem dels “metaversos”, entorns on interactuarem social i econòmicament com icones, a través d’un suport lògic en un ciberespai; al pas que anem, les pel·lícules de ciència ficció que hem vist fins ara es quedaran molt curtes en les seves expectatives) i els ciberdelinqüents aprofiten qualsevol vulnerabilitat del nostre entorn digital per aprofitar-se’n.  

Segons l’últim informe de l’asseguradora HISCOX, la proporció de víctimes d’un ciberatac va augmentar del 38% al 43%; una de cada sis empreses víctimes d’un ciberatac diuen que la seva supervivència està amenaçada; els pressupostos de TIC dedicat a la seguretat ciber ha pujat un 63% i que el ransomware s’ha convertit en una cosa freqüent: més del 50% de les empreses afectades van pagar un rescat.

La pandèmia ha fet augmentar els riscos exponencialment. El teletreball, dut a terme de forma precària obligats per les circumstàncies, ha suposat l’exposició de vulnerabilitats de les empreses. Falta de protocols, de cultura de  la ciberseguretat i de recursos TIC han portat al límit a molts autònoms, empreses i, fins i tot, a l’Administració Pública (recordem l’atac al SEPE del març passat que es va repetir el juny).

I encara hem de ser més cautelosos que mai amb el telèfon mòbil donat que ja són la principal via d’entrada de ciberatacs corporatius a Espanya (aproximadament el 41% del total dels produïts en el 2021).

Els atacs són de diversa naturalesa: des del clàssic virus informàtic fins al cada cop més present ransomware, passant per comprometre el mail corporatiu, atacs DDoS i pèrdues de dades. I el phishing continua sent l’estrella.

A Espanya, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) i is4k (Internet Segura for KIDS) són els principals recursos públics en matèria de ciberseguretat. A Catalunya, a més, disposem de l’Agència de Ciberseguretat de Catalunya.

Com sempre, i ara més que mai, cuideu-vos!

Facebook? Quina sorpresa!

per

Frances Haugen, de 37 anys, que treballava com a responsable de producte a l’equip d’integritat cívica de Facebook, va ser entrevistada diumenge per CBS. Va dir que els documents que va filtrar demostraven que Facebook prioritzava repetidament el “creixement per sobre de la seguretat”. Facebook va dir que les filtracions eren enganyoses i que havien passat per alt les investigacions positives realitzades per la companyia.

Com diu el titular, quina sorpresa! Ja fa molts anys que FB és font de controvèrsies per les seves pràctiques que es poden qualificar, com a poc, de fosques o de delictuoses directament. Recordem el famós escàndol de Cambridge Analytica amb l’ús d’informació de milions d’usuaris sense el seu consentiment per comercialitzar-los il·legalment amb tercers. Des de tractar a les personalitats de manera diferent segons biaixos interessats fins a ser acusat de donar una resposta “feble” a les preocupacions dels seus treballadors sobre el tràfic de persones, passant per afrontar demandes dels seus propis accionistes o fer-se autopublicitat a través dels feeds de notícies dels usuaris per millorar la seva imatge, tot són exemples de mala praxis com poc. Whatsapp, compartint informació dels usuaris amb FB, i Instagram acusada per les adolescents de fer-les sentir malament amb el seu cos, tampoc se’n lliuren.

I, mentrestant, el penúltim ensurt l’hem patit aquesta mateixa setmana amb la caiguda simultània de tota la xarxa de FB (a més de FB, van caure Whatsapp, Instagram, Messenger i Oculus) i la interrupció dels serveis que ha afectat a milions d’usuaris. Fins i tot a treballadors de FB que no es podien comunicar entre ells i que van tenir que fer servir eines alternatives de la competència. Estar clar que  això deu ser una qüestió del karma. No hi pot haver-hi un altre.

I deia penúltim ensurt perquè, i no ha acabat la setmana, ahir es publicaven informacions que asseguren que estan a la venda dades personals de més de 1.500 milions d’usuaris de FB en fòrums de hackers. Si la noticia es confirma, sempre convé ser cautelós amb aquest tipus d’informació, definitivament, aquesta no és la setmana de Marck Zuckerberg.

A propòsit de tot això, podem fer un parell de reflexions sobre la marxa. La primera, obvia, és que el model de negoci de FB necessita regular-se. Sembla evident que l’autoregulació per part de les big-tech (no parlem sols de FB) no funciona. Aquestes companyies han experimentat, en vint anys, uns creixement exponencials que els hi ha proporcionat uns poders i una influència (sobre usuaris, empreses i, fins i tot, governs) extraordinaris, sustentats amb uns rendiments econòmics fabulosos. No havia estat mai a l’abast de ningú poder dirigir-se simultània i instantàniament a milers de milions d’habitants amb qualsevol missatge sense cap trava. I, a més, poder fer amb les dades personals, literalment, el que els hi interessi en cada moment. No és fàcil però convé que posem peu a paret lo abans possible.

La segona reflexió, també obvia, és que, en aquest estat de la qüestió i a tall individual, hem de posar els nostres mitjans per preservar la nostra privacitat. Conductes adequades, protocols, eines i tot allò que estigui al nostre abast ho hem de posar en marxa per el nostre compte.

Com sempre, cuideu-vos!

Videovigilància, acomiadament i protecció de dades

per

En una recent sentència, el Tribunal Suprem ha admès que un acomiadament es provi amb un vídeo que vulnera la protecció de dades. El Suprem  afirma que la gravació pot ser admissible en un procediment laboral encara que en un altre procediment s’estableixi que atenta contra la normativa de privacitat. Aquesta diferenciació té importants conseqüències, com veurem a continuació.

El cas es va donar quan una empresa de seguretat va acomiadar a un guàrdia de seguretat per transgressió de la bona fe contractual, frau, abús de confiança i deslleialtat al no dur a terme les tasques encomanades (revisió de vehicles a l’entrada del recinte) per l’empresa i firmar i lliurar els registres diaris com que efectivament s’havien fet.

Segons la resolució coneguda dies enrere,  el que és rellevant és que el treballador coneixia la existència del sistema de videovigilància i que la gravació és vàlida com a prova, sense perjudici que l’empresa pugui tenir altres responsabilitats en l’àmbit de la normativa de protecció de dades. En conseqüència, el Suprem obliga a repetir el judici en el que les imatges no van ser admeses com a prova.

La Sala de lo Social del Suprem recorda que l’article 89.1 de la Llei Orgànica 3/2018, de 5 de desembre de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) estableix que, en el supòsit de comissió flagrant d’un acte il·lícit per part del treballador, i seguint la sentència del TEDH coneguda com López Ribalda II, s’entendrà complert el deure d’informar quan existeixi un dispositiu informatiu amb dades pertinents i clarament visible. No és obligat especificar “la finalitat exacte que s’ha assignat al control en qüestió”.

A l’empresari, però, és a qui li correspon aportar les proves necessàries per demostrar la veracitat dels fets imputats a la carta d’acomiadament. En aquesta línia, el Suprem afegeix que, d’acord amb l’article 24.2 de la Constitució, l’empresari té dret a utilitzar “els mitjans de prova pertinents per a la seva defensa”.

Diu també la sentencia que el fet que les càmeres fossin de Ifema i no de Securitas pot ser rellevant des del punt de vista de la protecció de dades però no ha de portar a impedir que Securitas aporti en un judici laboral unes gravacions que poden ser necessàries per satisfer la càrrega de la prova que sobre ella recau.

En aquest cas, el Suprem entén que la prova era “una mesura justificada, idònia, necessària i proporcionada al fi perseguit” satisfent així les exigències de proporcionalitat que imposen la jurisprudència del constitucional i el TEDH.

Per tot l’exposat, el Suprem admet el recurs de cassació plantejat per l’empresa i torna l’assumpte al jutjat de lo Social que va resoldre en primera instància, manant que celebri un nou judici admetent les gravacions com a prova.

Aquesta resolució obre una porta interessant quan assegura que “el nostre examen s’ha de cenyir a si la prova s’havia d’admetre o no, sense que hagi d’estendre’s a si es van complir tots els requeriments de la legislació de protecció de dades, tant des de la perspectiva de la relació de l’empresa amb el treballador acomiadat, com de la relació entre Securitas i Ifema”.

Com sempre, cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web