Derecho y empresa en entornos digitales

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

Si no pagues els serveis amb diners, ho fas amb les teves dades!

per

Això no és nou. Des de fa temps sabem que tot allò que ens donen “gratuïtament” ho estem pagant amb les nostres dades personals. Ens baixem una app per fer, posem per cas, de brúixola i ens demanen consentiment per accedir a les nostres dades, als contactes, a la nostre ubicació, a les fotografies i els vídeos i a un llarg etc. de dades.  

Tenint en compte que en el nostre telèfon tenim de mitja unes dos-centes aplicacions instal·lades, ja ens podem anar fent una idea de l’escampada de dades que hi ha.

Però tampoc cal que sigui una app, ni tan sols que la transacció es faci a Internet. Les targetes de pagament com VISA o les de fidelització de qualsevol comerç, acumulen al llarg del temps una gran quantitat de dades que permeten fer perfils molts acurats dels individus.

Què mengem, quants som a casa, de quines edats, estatus econòmic, dificultats per arribar a final de mes, quines són les nostres preferències en alimentació, viatges, música i tantes altres coses. I tot a canvi de miserables punts o algun descompte de tant en tant.

Fins aquí tot el que sabíem però ara, CaixaBank, ens ha obert encara més els ulls. I de manera francament desagradable, per dir-ho suaument. Perquè l’Agència Espanyola de Protecció de Dades l’ha sancionat amb 2.100.000€ per condicionar la prestació del consentiment als seus clients. Una multa de 2.000.000€ per condicionar l’obtenció del consentiment a l’exempció de comissions bancàries. I, una segona, perquè en el formulari de consentiment les caselles estaven premarcades. Pràctica molt habitual (també passa amb les cookies) que, en aquest cas, ha estat sancionada amb 100.000€.

Sí, heu llegit bé. Segons l’AEPD, el banc condicionava l’exempció de comissions a l’atorgament del consentiment per part del client per rebre comunicacions comercials i per cedir les seves dades a les entitats del Grup Bankia. El Reglament Europeu, diu clarament que “el consentiment quedarà invalidat per qualsevol influencia o pressió inadequada exercida sobre l’interessat que impedeixi que aquest exerceixi la seva lliure voluntat”. L’Agència valora com agreujant el gran número de clients, prop d’un milió, que havien prestat el consentiment per rebre publicitat i cedir les dades a Bankia.

La segona multa es deu q la inobservança del requisit d’obtenir el consentiment d’una manera lliure, específica, informada i inequívoca, incomplint el RGPD per quant “el silenci, les caselles premarcades o la inacció no han de constituir consentiment”. Aquesta invalidesa comporta una falta de legitimació que infringeix l’article 6.1 RGPD.

Aquestes notícies creen neguit en la societat, més si venen d’una institució que molts considerem senyera. D’una empresa de referència com aquesta i per la naturalesa del seu negoci, s’espera que, a més complir la normativa vigent, apliquin els més alts estàndards ètics en el tracte als seus clients. La sanció econòmica no tindrà més transcendència però la reputació del Banc se’n veurà afectada.  

Com diu el xef José Andrés, “lo important és que ens cuidem els uns als altres”. Podem començar perquè les empreses ens cuidin. I, no descuidem, vigilar nosaltres mateixos!

UE – EEUU, llum al final del túnel?

per

Pocs dies enrere, va saltar la noticia que la UE i els EEUU havien arribat a un acord per transferir, entre els dos espais, dades personals, garantint-ne la privacitat. La transferència de dades estava suspesa des del passat 2020, quan el Tribunal de Justícia de la Unió Europea (TJUE) va anul·lar l’acord anomenat “Privacy Shield” al considerar que els EEUU no oferien suficients garanties per la privacitat dels ciutadans europeus.

Aquest anunci del President Biden s’ha de prendre, com sempre, amb molta cautela, per varies raons. Primer, perquè per el que sembla, estem davant d’una declaració d’intencions. Segon, perquè, de ser així, hi ha molta feina per endavant i no és una qüestió que es resoldrà en unes setmanes. I, tercer, perquè, o molt ens equivoquem però costa creure que Max Schrems (l’activista que va impulsar les demandes que van donar origen a l’anul·lació) es conformi sense presentar batalla.

Ja n’hem parlat de la qüestió en diverses ocasions (1,2,3,4) però fem un resum de com hem arribat fins aquí.

Tot i que el RGPD preveu altres mecanismes per blindar la privacitat de les dades en les transferències internacionals (per exemple, les SCC –Standard Contractual Clauses– o les BCR –Binding Corporate Rules) és evident que un acord marc d’adhesió per part de les empreses americanes com el Privacy Shield facilitava molt les coses, a tots dos costats de l’Atlàntic. Les empreses americanes només tenien que adherir-se amb un auto-certificat a els principis establerts per el Departament de Comerç dels EEUU. I les empreses, a més de complir amb les seves obligacions, només tenien que assegurar-se que l’empresa que tractava les dades estava en la llista. Aquest plantejament va saltar per els aires el juliol del 2020 amb l’esmentada sentencia.

I que suposa que l’Escut de Privacitat no estigui en vigor? Doncs que anem cap a dos anys d’incompliment continuat. Google, Facebook, Mailchimp i totes les empreses americanes que donen servei a empreses europees estan en fals. I les empreses europees estan, directament, incomplint perquè transfereixen dades sense garanties. De vegades de forma molt grollera com pot ser el cas de Mailchimp i d’altres, de forma més subtil com pot ser fent servir Google Analytics.             

I que diu el comunicat que pretén resoldre la situació?

Doncs literalment diu que “Avui hem aconseguit un acord sense precedents sobre la protecció de la privadesa de les dades i la seguretat dels nostres ciutadans”. L’acord “permetrà el flux de dades entre la UE i els EUA de forma predictible, fiable, equilibrant la seguretat, els drets a la privadesa i la protecció de dades”, va assegurar Von der Leyen. I, segons Biden, que es reprengui el flux de dades tindrà un impacte positiu estimat en uns 6.500 milions d’euros.

Interessos econòmics versus privacitat. I, està clar, al final hem d’aconseguir el millor d’ambdós aspectes: permetre el la transferència de dades sense perjudicar a les empreses i la seva economia però mantenint la privacitat que emana del RGPD. Per aquesta és la garantia de la prosperitat per les economies occidentals.

Com sempre, vigileu les vostres dades i cuideu-vos!

Indústria publicitària: com afectarà el nou RD sobre publicitat d’aliments i begudes per a menors?

per

Aquesta setmana, el Ministeri de Consum ha presentat l’esborrany del Reial Decret que regularà l’emissió de publicitat d’aliments i begudes per a menors de 16  anys. El document, que estarà en tràmit d’audiència i informació pública fins el proper 29 de març, té com objectiu “garantir la protecció dels drets a la salut i el desenvolupament integral de la infància”.

Dos són els grans objectius del Reial Decret:

1) Definir un marc regulatori mínim per la protecció de la salut de la infància i l’adolescència.

2) Promocionar acords de corregulació i codis de conducta en l’àmbit de les comunicacions comercials sotmeses a la norma.

A fi de justificar el Reial Decret, el Ministeri fa una llarga exposició de motius, incloent nombroses referencies a estudis de l’Organització Mundial de la Salut (OMS), de l’Autoritat Europea de Seguretat Alimentària (EFSA) i altres de caràcter nacional com el que assegura que a España, quatre de cada deu escolars entre 6 i 9 anys pateixen excés de pes, A més l’obesitat i el sobrepès afecta especialment a sectors vulnerables de la població.

La norma limita i redueix l’exposició del públic infantil i adolescent a la publicitat dels aliments i begudes considerats poc saludables. I va dirigida als menors de 16 anys amb accés a contingut publicitari a través de mitjans com televisió, premsa i revistes infantils, pàgines web o xarxes socials.

I quines són les principals restriccions i prohibicions? Per el que afecta a la indústria publicitària, destaquem:

  • Evitar l’ús de elements de fantasia com dibuixos animats.
  • No presentar els aliments i les begudes en quantitats excessives.
  • Prohibir comunicacions que suggereixin que la compra aportarà èxit social, popularitat o qualitats especials de qui apareix en els anuncis.
  • Prohibir comunicacions comercials que incitin als menors a demanar als familiars que els hi comprin el producte anunciat.

El RD també inclou prohibicions específiques de fer publicitat en 5 categories de productes:

  • Xocolata i productes de confiteria, barretes energètiques, cobertures de dolços i postres
  • Pastissos, galetes dolces i brioxeria i altres productes de pastisseria
  • Sucs
  • Begudes energètiques i
  • Gelats

Respecte els productes no afectats de forma específica, es podran publicitar sempre que no excedeixin determinades quantitats de sodi, sucre, edulcorants, greixos totals i saturats per cada 100 gr. de producte.

També s’inclouen prohibicions específiques pel que fa a les comunicacions comercials com que apareguin “mares o pares, educadors, docents, professionals de programes infantils, esportistes, artistes, influencers, persones o personatges de rellevància, notorietat pública o proximitat amb el públic infantil, sigui reals o de ficció, que per la seva trajectòria siguin susceptibles de constituir un model o exemple per les persones menors d’edat”.

També es prohibeix fer promocions dirigides al públic infantil que publicitin aliments que no respectin els límits mencionats.

Destacar, per últim, les restriccions sobre la publicitat a Internet dels productes limitats o prohibits. En els serveis d’intercanvi de vídeos a través de plataformes o xarxes social, només es permetrà en plataformes que disposin de mecanismes eficaços per evitar que les comunicacions es dirigeixin al públic infantil i permetin el bloqueig d’anuncis emergents per part dels usuaris. La publicitat  en pàgines web i aplicacions també queda supeditada a que disposin de mecanismes similars.

Per últim, el règim sancionador remet a la Llei 17/2011, de 5 de juliol, sobre Seguretat Alimentària que preveu sancions fins a 600.000€ per les infraccions més greus en la matèria.

Caldrà seguir l’evolució del text legal durant l’exposició pública i veure com queda la norma definitiva. Però, prenem nota i comencem a preveure els possibles escenaris que es poden plantejar i a pensar en alternatives. La previsió és sempre bona consellera.

Com sempre, Cuideu-vos!

Ets europeu? Doncs la guerra d’Ucraïna no és l’única amenaça

per

La setmana passada recollíem el conflicte de Google amb la legislació de protecció de dades de la UE. De fet, el Supervisor Europeu acabava, res menys, de sancionar al Parlament Europeu per infringir el RGPD al utilitzar, precisament, Google Analytics. Podeu llegir el post aquí.

I ara toca, no podia faltar l’inefable Mark Zuckerberg. Amenaça amb tancar Facebook i Instagram a Europa. L’advertència s’enquadra en la guerra que Meta, la matriu de Facebook, Instagram y Whatsapp, té amb les lleis europees de protecció de dades.

El problema té la mateixa arrel que amb Google Analytics, MailChimp i una llarga llista d’empreses americanes que no compleixen amb la legislació europea. Tot ve de la sentència  que va anul·lar l’acord denominat Privacy Shield entre la UE i els EEUU el passat estiu del 2020. I ja ho vam explicar en el seu dia (‘Efecte Brussel·les’: cop de puny de la UE sobre la taula). I la UE està disposada a fer valer el Dret de la Unió.

I per si això no ha quedat clar, la UE donar dos passes definitives en el sentit regulador: la recent Llei de Serveis Digitals (DSA) que ha aprovat el Parlament Europeo (que encara no entrarà en vigor fins que es negociï amb la Comissió i el Consell Europeu) n’és una i, l’altre, la Llei de Mercats Digitals.

Respecta a la primera, i en paraules del comissari de competència de la UE, “És hora de posar ordre en el salvatge oest digital. Hi ha un nou sheriff a la ciutat, que es diu DSA”. EL resum de la Llei seria que el que és il·legal a la vida real, hauria de ser-ho online. La Llei es centra en crear un entorn digital més segur per els usuaris i les empreses digitals, a través de la protecció dels drets fonamentals en línia. La Llei aborda, entre altres, el comerç i intercanvi de béns, serveis i continguts il·legals en línia i, molt important, els sistemes algorítmics que amplien la propagació de la desinformació.

I respecte a la segona, complementària de la primera, pretén igualar les condicions per a totes les empreses digitals, independentment de la seva mida. Fixa regles clares sobre el què les grans plataformes de Internet poden i no poden fer dins la UE. Busca promoure la innovació, el desenvolupament i la competitivitat, ajudant a les empreses més petites i a les noves empreses a competir amb les grans.

Com dèiem en el post, Europa és un mercat únic molt envejable, entre altres coses, per el seu gran poder adquisitiu. Serà suficient perquè els gegants tecnològics es sotmetin a les lleis europees? És lo de Facebook una fanfarronada per pressionar a les autoritats europees? Què farà Google amb Google Analytics?

Veurem el que passa en els propers mesos però, el que estar clar, és que la UE vol, i probablement se’n sortirà, marcar el pas. Wait and see.

Mentrestant, cuideu-vos!

Què en saps de Google Analytics?

per

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies  de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren  transferits al Estats Units sense suficient garanties de protecció.  El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes  Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!  

Publiques fotos dels teus treballadors a la web o a les xarxes socials?

per

Doncs cal anar en compte. L’AEPD ha sancionat a una empresa amb 9.000 euros per publicar a la seva web i xarxes socials fotos d’un treballador sense el seu consentiment.

Perquè publicar imatges d’un treballador sense permís és sancionable però no fer cas de les peticions per retirar-les encara més. Això és el que li ha passat a una empresa de formació que ha estat sancionada amb 9.000 € per tractar les dades del treballador sense consentiment (6.000 €) i no atendre les demandes per eliminar las imatges de les xarxes socials (Facebook i Instagram), uns altres 3.000 €. A més del cost reputacional, és clar. No és cap broma.

Així ho ha entès l’AEPD en la seva Resolució de Procediment Sancionador. L’empresa va publicar fotografies de la treballadora sense consentiment. I la treballadora va demanar a l’empresa, al menys en dos ocasions, que retiressin les fotografies en les que apareixia, sense que l’empresa atengués la seva petició. Després de intentar-ho una segona vegada, de nou sense èxit, la treballadora afectada va presentar una reclamació, el novembre de 2020, davant l’AEPD.

L’Agència va intentar posar-se, per diferents vies, en contacte amb l’empresa sense aconseguir-ho. Va quedar acreditat que l’empresa havia dut a terme un tractament de dades consistent en haver pujat les fotografies a la seva pàgina web i a les seves xarxes socials. No consta que l’exhibició de les imatges estigués emparada per cap base legitimadora del art. 6 RGPD (per exemple, el consentiment), quedant acreditada la comissió de la infracció.

Per agreujar-ho més si és possible, l’empresa no va atendre el dret de supressió de la interessada, emparat per l’article 17 RGPD, i no va excloure les dades personals del seu tractament. Segons aquest article “l’interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin”. I el responsable estarà obligat a suprimir sense tardar les dades personals quan, entre altres condicions, es doni la que recull l’apartat “d) les dades personals hagin estat tractades il·lícitament”.

Per graduar les sancions, l’Agència considera que els tractaments venen de lluny -des del 2017 al 2020-, la quantitat no és escassa i l’abast és important ja que figuren en dos xarxes socials i la pròpia web de l’empresa. Respecte a la infracció per no atendre el dret de supressió de l’article 17 RGPD, l’Agència relata que es va sol·licitar en dos ocasions, sense obtenir cap resposta, el que posa de manifest un manca de compliment en els deures que li corresponen a l’empresa.

Aprenguem la lliçó. No es poden publicar imatges dels treballadors sense el seu consentiment. Atenguem les peticions de supressió que ens facin. La manca de diligència és imperdonable. I un recordatori. Quan un treballador deixa l’empresa (acomiadat o per voluntat pròpia), recordem suprimir les imatges en les que apareix (web, xarxes, fulletons, anuncis, etc.). Tret, es clar, que no tinguem el seu consentiment exprés.

Com sempre, Cuideu-vos!

FanPages, compliment obligat del RGPD

per

Arran d’una consulta empresarial, fem aquest post per aclarir conceptes sobre la relació entre les FanPages i el RGPD. La resposta curta és que sí, les empreses que les fan servir han de complir amb la normativa de protecció de dades.

Començarem per explicar, per qui no ho sàpiga, què és una FanPage. Las fanpages són una funcionalitat que Facebook va introduir ja fa anys. És una pàgina creada especialment per ser un canal de comunicació amb fans dins de la xarxa social.

A diferència dels perfils, són espais que reuneixen a persones interessades sobre un assumpte, empresa, una causa o algun tret en comú sense la necessitat de l’aprovació d’amistat. És el fan qui tria si seguirà o no les actualitzacions d’una determinada pàgina.

Són canals de comunicació molt apreciats per les empreses perquè és una forma econòmica, ràpida, senzilla i quantificable de comunicar en temps real amb clients potencials. Una espècie de televisió o ràdio o diari però amb uns costos infinitament més econòmics.

Les preguntes que ens feia l’empresari eren bàsicament dos: estem obligats a complir amb el RGPD i, si és així, què hem de fer?

A efectes de la normativa de protecció de dades, aquestes pàgines funcionen com una pàgina web. Recullen dades personals dels usuaris i, per tant, s’ha d’aplicar la mateixa normativa, és a dir, proporcionar accés a l’Avís legal, a la Política de Privacitat i a la Política de Cookies de l’empresa. I naturalment que tota la documentació compleixi la normativa vigent. Si a més, com és freqüent, l’empresa instal·la el píxel de seguiment de Facebook, amb més motiu. Però del píxel ja en parlarem un altre dia.

Dit això i entenen que és una pàgina situada en una plataforma en la que l’empresa té molt poc marge de maniobra, convé establir qui és realment el responsable de les dades personals, l’empresa o Facebook. Doncs tots dos.

Una sentència de juny de 2018 del Tribunal de Justícia de la Unió Europea va resoldre que el concepte de responsable del tractament comprenia també a l’administrador d’un pàgina web allotjada en una xarxa social. Segons la sentència, tot i que Facebook tracta les dades personals mitjançant cookies sense informar a l’empresa, no és menys cert que FB posa a disposició de l’empresa estadístiques (anonimitzades) dels visitants i que l’empresa pot definir criteris a partir dels quals s’han d’elaborar les estadístiques i, fins i tot, designar les categories de persones les dades de les quals seran objecte d’explotació per part de FB. La sentència conclou que l’administrador de la pàgina ha de ser qualificat com responsable del tractament conjuntament amb FB.

Per tant hem de complir: informar de les dades i la seva finalitat, recollir el consentiment explícit per el tractament, demanar només les dades necessàries, no fer servir les dades per finalitat diferent a la demanada, no conservar les dades més temps del necessari, implementar mesures i organitzatives adequades, atendre les sol·licituds d’exercici dels drets dels usuari i crear la corresponent activitat en el Registre.

Com sempre, atents a tots els detalls de compliment. I si teniu dubtes, consulteu-nos.

I el més important, cuideu-vos!

Competència deslleial, compte que vénen corbes!

per

Poc a poc, sense pressa però sense pausa, la legislació es va posant a to pel que fa a Internet. Davant de nous reptes, el legislador, tot i que amb retard, va ajustant el dret a les conductes que necessiten regulació. I aquest és el cas amb el nou Reial Decret-Llei 24/2021 que, entre altres coses, introdueix noves mesures per prohibir la publicitat encoberta en xarxes socials i evitar les  ressenyes falses en els béns o serveis en la venda a través de Internet.

El Decret, que transposa diverses directives de la Unió Europea, modifica tant la Llei General per la Defensa dels Consumidors i Usuaris com la Llei 3/1991, de 10 de gener, de Competència Deslleial. Les modificacions entraran en vigor el 28 de maig de 2022, a excepció de l’apartat setzè de l’article 82 relatiu a les dades personals del consumidor o usuari, l’entrada en vigor del qual està prevista per a l’1 de gener de 2022.

Pel que fa a la primera, defensa de consumidors i usuaris, s’afegeixen dos nous apartats a l’article 20, relatiu a la Informació necessària en l’oferta comercial de béns i serveis. El primer fa referència a nous requisits de transparència en els motors de recerca ja que serà obligat facilitar els criteris que s’han tingut en compte per posicionar els resultats i la seva rellevància. La informació ha de mostrar-se junt als propis resultats.

El segon es refereix a les ressenyes i indica que s’haurà de informar al consumidor si es garanteix que han estat fetes per compradors validats del producte i cal explicar com es processen.

Quan a les modificacions en la Llei de Competència Deslleial es reforma l’article 26 que fa referència a les Pràctiques comercials encobertes. A partir d’ara ho seran aquelles que no especifiquin que es tracta  d’un contingut publicitari les  informacions destinades a promocionar un producte o servei pagant l’empresari o el professional encarregat de la promoció. I en l’article següent, s’afegeixen com pràctiques enganyoses afegir ressenyes de consumidors i usuaris sense garantir que són reals o contractar a tercers per incloure valoracions de consumidors falses amb la finalitat de promocionar productes o serveis.

En definitiva, més mesures de seguretat per augmentar la protecció del consumidor a Internet. Moltes vegades, per presses o perquè prenem decisions veient la informació en el mòbil, els consumidors i usuaris estan desemparats i s’equivoquen amb conseqüències imprevisibles. I a les empreses i als professionals de la promoció enviar-los el missatge de que, a banda de complir amb la legislació vigent, convé que vagin desestimant pràctiques que contradiuen la bona fe imprescindible per el tràfic comercial pròsper.

Com sempre, ¡Cuideu-vos!

Registre de Jornada i Dades biomètriques, una relació difícil

per

El tractament de dades biomètriques sempre comporta una dificultat afegida com és la de realitzar l’obligatòria Avaluació d’Impacte (AIPD). La identificació biomètrica implica el tractament de categories especials de dades per a les quals el Reglament requereix garanties reforçades. Les identificacions més comunes d’aquest tipus són la facial i l’empremta digital. D’aquesta última i de les conseqüències de fer-ho malament en parlem en aquest post.

I és que l’AEPD acaba de sancionar a una empresa per implantar indegudament un registre de jornada laboral mitjançant l’empremta digital. En la resolució s’imputa a la reclamada que, al tractar-se de dades de categoria especial i existint l’obligació  de fer una Avaluació d’Impacte, va incomplir l’article 35 RGPD. Aquest article diu que quan sigui probable que el tractament, en especial si es fan servir noves tecnologies, pot comportar un alt risc per els drets i llibertats de les persones físiques, el responsable realitzarà, abans del tractament, una Avaluació d’Impacte de les operacions de tractament en la protecció de dades personals.

En la Resolució, l’AEPD considera que l’empresa tractava dades de categoria especial, dades biomètriques, però l’empresa insisteix en que la tecnologia emprada és la de verificació / autenticació biomètrica que no entra en la categoria especial de dades i, en conseqüència, no exigiria la realització d’AIPD. Les dades d’identificació biomètrica que permeten identificar de manera unívoca a una persona física serien les que obligarien a realitzar l’Avaluació, com és el cas que ens ocupa.

També senyala la Resolució que existeixen mitjans menys intrusius per mantenir aquest tipus de registres i que la tecnologia emprada no superava el necessari judici de proporcionalitat que es tenia que haver fet i que hi ha sistemes alternatius com, per exemple, targetes identificatives.

Des del punt de vista laboral, l’Agència considera que les empreses no haurien d’emparar-se en el consentiment com base legitimadora del tractament, tret que es tracti de casos excepcionals. I això perquè no es parteix d’una posició d’equilibri entre les parts perquè en la relació laboral hi ha una relació de subordinació. El consentiment només pot ser vàlid si l’interessat pot realment triar i no existeix  un element de compulsió, pressió o incapacitat per exercir la lliure voluntat. A més, ha de ser possible retirar-lo en qualsevol moment, sense cost ni desavantatge per l’interessat, i s’han d’oferir alternatives. Per últim, els interessats tenen dret a la supressió de les dades quan el consentiment s’ha retirat.

Com a conclusió, val dir que la tecnologia de reconeixement biomètric és molt invasiva, que cal distingir entre identificació biomètrica (requereix AIPD) i autenticació biomètrica, menys intrusiva, i que hi ha sistemes més proporcionats per portar el control de la jornada horària dels treballadors. I tenir tot això en compte perquè la multa ha estat de 20.000€.

Com sempre, cuideu-vos!

Octubre: Mes Europeu de la Ciberseguretat (2021)

per

A punt de deixar enrere el proclamat Mes Europeu de la Ciberseguretat (2021), aprofitem per fer algunes consideracions respecte un tema que, tot i les evidències que tenim dia a dia, no acaba d’arrelar en la consciència dels usuaris, de les empreses ni fins i tot de l’Administració Pública.

El lema de la campanya d’enguany és “Abans de fer clic, pensa”. És un eslògan simple però, precisament per això, fàcil de recordar i carregat de sentit. La seguretat comença per no fer clic sense saber que pot tenir conseqüències. A partir d’aquí, hem de ser conscients que la seguretat comença per un mateix.

“Els ciberatacs posen en risc els nostres negocis, les nostres infraestructures crítiques, les nostres dades i el funcionament  de les nostres democràcies”, assegura el Vicepresident europeu per la Promoció del nostre Mode de Vida Europeu.

Estem abocats, cada cop mes, a viure en un món digital (un altre dia parlarem dels “metaversos”, entorns on interactuarem social i econòmicament com icones, a través d’un suport lògic en un ciberespai; al pas que anem, les pel·lícules de ciència ficció que hem vist fins ara es quedaran molt curtes en les seves expectatives) i els ciberdelinqüents aprofiten qualsevol vulnerabilitat del nostre entorn digital per aprofitar-se’n.  

Segons l’últim informe de l’asseguradora HISCOX, la proporció de víctimes d’un ciberatac va augmentar del 38% al 43%; una de cada sis empreses víctimes d’un ciberatac diuen que la seva supervivència està amenaçada; els pressupostos de TIC dedicat a la seguretat ciber ha pujat un 63% i que el ransomware s’ha convertit en una cosa freqüent: més del 50% de les empreses afectades van pagar un rescat.

La pandèmia ha fet augmentar els riscos exponencialment. El teletreball, dut a terme de forma precària obligats per les circumstàncies, ha suposat l’exposició de vulnerabilitats de les empreses. Falta de protocols, de cultura de  la ciberseguretat i de recursos TIC han portat al límit a molts autònoms, empreses i, fins i tot, a l’Administració Pública (recordem l’atac al SEPE del març passat que es va repetir el juny).

I encara hem de ser més cautelosos que mai amb el telèfon mòbil donat que ja són la principal via d’entrada de ciberatacs corporatius a Espanya (aproximadament el 41% del total dels produïts en el 2021).

Els atacs són de diversa naturalesa: des del clàssic virus informàtic fins al cada cop més present ransomware, passant per comprometre el mail corporatiu, atacs DDoS i pèrdues de dades. I el phishing continua sent l’estrella.

A Espanya, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) i is4k (Internet Segura for KIDS) són els principals recursos públics en matèria de ciberseguretat. A Catalunya, a més, disposem de l’Agència de Ciberseguretat de Catalunya.

Com sempre, i ara més que mai, cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web