Derecho y empresa en entornos digitales

3.1. Corporate Governance, IT Governance: principios, normas y funcionamiento de las empresas orientadas a tecnología.
3.2. Nuevos modelos de empresa y la calidad de la gestión TIC.
3.3. Aspectos jurídicos de la economía colaborativa.
3.4. El asesoramiento jurídico de emprendedores y start-ups digitales.
3.5. Outsourcing: contratación a terceros de bienes y servicios.
3.6. Las nuevas relaciones laborales en las empresas digitales: teletrabajo, control empresarial y derecho a la intimidad.

És obligatori contestar a les demandes d’ocupació?

per

Estem en unes circumstàncies econòmiques que fa que les demandes d’ocupació siguin força elevades. Les empreses reben un número creixent de currículums, molts d’ells no sol·licitats, que s’han de gestionar, entre altres, des del punt de vista de la Protecció de Dades. Arrel d’una resolució de l’AEPD, avui ens ocupem d’un d’ells: l’obligatorietat de l’empresa d’informar sobre què farà amb el CV.

Fins ara, no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals és un pràctica habitual en les empreses per diferents raons: falta de protocols, de informació, desinterès o, simplement, saturació de feina.

Però aquesta situació pot canviar radicalment perquè l’Agència Espanyola de Protecció de Dades (AEPD) acaba de sancionar a una empresa amb 2.000€ de multa per no identificar de forma apropiada al responsable del tractament, ni comunicar al candidat la possibilitat d’exercir els seus drets davant el responsable del tractament  ni la destinació que s’anava a donar a les seves dades. A més, l’entitat reclamada no disposa de Delegat de Protecció de Dades (DPD).

El tràmit es va efectuar per WhatsApp, la qual cosa en posa en alerta perquè quan obrim un canal de comunicació nou, com pot ser un sistema de missatgeria front al convencional correu electrònic, hem de ser curosos e implantar un protocol a l’empresa que tingui en compte les particularitats i especificacions del canal per evitar sorpreses posteriors. En el present cas, el candidat va contactar per telèfon i va remetre el CV per WhatsApp, sense rebre justificant de recepció.

El candidat va remetre a l’AEPD les captures de pantalla amb els missatges intercanviats per WhatsApp, en les que no apareix cap informació relativa al tractament de les dades. L’empresa reclamada no va procedir a presentar al·legacions ni proves en el termini d’audiència per la qual cosa l’Agència va continuar amb el procediment.

L’AEPD considera que s’ha infringit l’article 13 del RGPD que fa referència a la informació sobre el tractament que s’ha de facilitar als interessats quan les dades personals provenen d’ell mateix, així com la resta de informació necessària per garantir un tractament de dades lleial i transparent.

 Un altre dia parlarem de la resta d’obligacions que tenim envers els candidats com la manera i el temps de conservació dels currículums i dels protocols que l’empresa ha de tenir implantats per donar resposta a les candidatures. Però el que ens ha de quedar clar és que hem d’estar ben assessorats i complir amb les nostres obligacions. D’altre manera, podem ser sancionats i, els que és pitjor, patir una pèrdua reputacional que pot costar molt de recuperar. 

Mentrestant, cuideu-vos! 

Smishing?

per

INCIBE alertava ahir d’una nova amenaça de smishing, es a dir, SMS que suplanten la identitat per capturar les teves dades. L’entitat afectada en aquest cas és el BBVA. S’ha detectat una campanya d’enviament massiu de SMS fraudulents que, simulant provenir del BBVA, informen que el compte ha estat desactivat i demanen a l’empresari o treballador que premi sobre un enllaç per verificar la informació.

Naturalment, si segueixes l’enllaç et demanen les teves credencials d’accés al compte a fi de “verificar-les”. A partir d’aquí, tenim un problema.

Entre les moltes amenaces que ens envolten en l’àmbit de la Ciberseguretat, el smishing és pot ser del que menys se’n parla. I, curiosament, la mitja d’usuaris desconfia menys d’un SMS que, posem per cas, un correu electrònic que, com ja sabem a aquestes alçades, pot ser maliciós (phishing). I aquestes no són les úniques, ni molt menys. Recentment,  Microsoft alertava d’una nova estafa que fa servir arxius d’Excel maliciosos. Correus electrònics falsos, trucades que es fan des de centres il·legals i codi que inclou malware en els fulls d’Excel formen part de l’estratègia per dur a terme l’atac.

I les empreses, què han de fer per gestionar els incidents de seguretat?

La gestió d’incidents de seguretat és una tasca cabdal per poder minimitzar qualsevol amenaça que pugui vulnerar la seguretat de la nostra empresa. Convé aquí recordar que vulnerabilitat és una debilitat o fallo en un sistema de informació que pot permetre un atac. I amenaça és tota acció que aprofita una vulnerabilitat per atemptar contra la seguretat d’un sistema de informació. La nostra obligació, per tant, és conèixer les amenaces (qüestió externa) i evitar les vulnerabilitat (qüestió interna).

Quan parlem d’incidents de seguretat i la seva gestió, hem de considerar, com a mínim, les següents qüestions:

  • Definir una Política de gestió dels incidents que inclogui un pla de resposta.
  • Conèixer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conèixer els Passos per la gestió dels incidents, per oferir una resposta adequada i minimitzar els possibles efectes en l’organització
  • Aprendre sobre Mesures preventives addicionals que augmentin les nostres possibilitats d’èxit.
  • Preparar un Pla de contingència i continuïtat, assegurant una resposta ràpida i poder recuperar ràpidament l’activitat del negoci.

En temes de Ciberseguretat no podem baixar la guàrdia. Tant a nivell personal com professional i empresarial, té que ser una de les nostres prioritats. Tinguem present que un incident de seguretat pot arruïnar la nostra reputació i tots els nostres esforços.

Com sempre, cuideu-vos molt!

YouTube vs. Indústria Cultural Europea

per

El Tribunal de Justícia de la Unió Europea (TJUE) considera que YouTube no és responsable de les infraccions de “copyright” dels seus usuaris. La plataforma de vídeo, propietat de Google, només vulnera els drets d’autor en determinats casos, com, per exemple, si contribueix a promocionar al públic l’accés a continguts protegits.

Diu el Tribunal que la plataforma no és responsable dels continguts protegits per drets d’autor posats a disposició del públic per els usuaris. Només seria responsable si contribueix activament a proporcionar accés al públic a aquests continguts o no pren mesures actives per eliminar-los.

La batalla entre la Indústria Cultural Europea i les plataformes digitals ve de lluny. La disrupció tecnològica provocada en la Indústria audiovisual per aquests operadors (YouTube, Spotify, Instagram, Uploaded, …) obliga necessàriament a canviar les regles del joc, i, fins i tot, el joc mateix.

I diem que ve de lluny perquè el fallo dona resposta a dos demandes plantejades a Alemanya. La primera, interposada per un productor musical el 2008, al·legava que s’havien pujat a la plataforma diversos fonogrames sobre els que tenia la titularitat de diferents drets. La segona, interposada per Elsevier a l’empresa Cyando (de intercanvi d’arxius) el 2013, per posar diferents obres a disposició dels usuaris, sense autorització.

En la sentència examinada, el TJUE entén que “els operadors de plataformes en línia no fan per si mateixos una comunicació al públic dels continguts protegits per drets d’autor posats il·legalment en línia pel seus usuaris”. Això sí, aquesta exempció de responsabilitat només és aplicable en els casos que les plataformes no contribueixin a facilitar l’accés a aquests continguts que infringeixen els drets d’autor o que, un cop informades de la seva existència, no preguin mesures actives per eliminar-los. La sentència segueix el criteri de responsabilitat prevista en la Directiva sobre Comerç Electrònic que entén que no hi ha responsabilitat si el paper de la plataforma és neutre, automàtic i passiu.

La sentència no és el final, més aviat és el principi d’una llarga batalla de la que té que donar com a resultat un equilibri just entre les parts en conflicte (plataformes vs. Indústries).  S’ha de tenir en compte, a més, altres qüestions, com la que plantegen grups de drets civils preocupats per la possible censura de governs autoritaris i els riscos per la llibertat d’expressió amb propostes com la instal·lació de filtres a la plataformes per evitar que els usuaris pugin continguts amb drets d’autor (o altres que no interessin a determinats grups).

El tema no és baladí i cal seguir-lo amb atenció. Com sempre, ens hi juguem molt.

Cuideu-vos!

I les contrasenyes?

per

A propòsit d’una recent resolució de l’AEPD en la que apareix com indicador d’un ús no diligent de les seves claus per part d’un usuari, escrivim aquest post. El cas és que les claus van aparèixer en el lloc web haveibeenpwned.com. En la resolució s’al·lega que el reclamant és un exponent d’acreditada escassa diligència en la gestió i custòdia de les seves credencials.

Podríem traduir lliurement del anglès el terme “pawned” com “compromès”. El lloc web ofereix un servei gratuït perquè l’usuari pugui comprovar si la seva direcció de correu electrònic o contrasenyes apareixen en les seves llistes i, en conseqüència, si les seves claus han estat compromeses y convé canviar-les immediatament.

Perquè són importants les contrasenyes?

Accés a la gestió de la informació, utilització de serveis com la banca online o compres per internet són tres exemples quotidians en els que fer servir contrasenyes adequades resulta imprescindible.

Si poden suplantar la nostra identitat, poden tenir accés a la nostra informació confidencial (per exemple, l’emmagatzemada en el cloud amb documents, fotos y vídeos, etc.), entrar en el nostre compte bancari (amb conseqüències imprevisibles) o fer compres importants que haurem de pagar nosaltres.

Què hem de fer?

La majoria de consells que es poden donar són de sentit comú. Sobretot, d’allò que no s’ha de fer. Post-it en el monitor, sota el teclat, llibretes amb llista de claus, … són pràctiques que ja fa temps haurien d’estar desterrades.

En qualsevol cas, convé insistir.

  • No compartir la contrasenya amb ningú
  • Contrasenyes robustes (al menys 8 caràcters, majúscules, números, símbols, …
  • No fer servir la mateixa contrasenya en diferents serveis. Per exemple, la del banc i la de Facebook.
  • No entrar en un servei amb el compte de Google o FB. Si aquest es veu compromès, l’atacant tindrà accés a tots els serveis que depenen d’aquest compte. I de molts altres perquè, estigueu segurs, ho provaran amb tots.
  • Compte amb les preguntes de seguretat. Mira que només tu coneguis la resposta (i que no es pugui deduir de les teves xarxes socials: data de naixement, nom de la mascota, etc.)
  • Fer servir sempre que sigui possible el doble factor d’autenticació (2FA).
  • Utilitzar gestors de contrasenyes. Hi ha moltes opcions en el mercat a preus molt assequibles

Què passa si el nostre compte apareix a haveibeenpwned.com?

Doncs que òbviament estem en una situació compromesa i hem d’actuar immediatament.

Primer identificant els correus i contrasenyes que han estat exposats. A continuació, fent servir un gestor, generar contrasenyes fortes i diferents per tots els serveis compromesos, començant per els més crítics (primer el banc abans que el FB) i canviar-les totes.

Cuideu-vos!

Claus sobre Protecció de Dades en el treball

per

L’Agència Espanyola de Protecció de Dades ha publicat una guia sobre protecció de dades i relacions laborals. El document encara qüestions com la consulta de l’empleador a les xarxes socials, els sistemes  interns de denuncies (whistleblowing), el registre de la jornada laboral, la protecció de dades de les víctimes d’assetjament a la feina, els de les dones supervivents a la violència de gènere o l’ús de tecnologia wearable com element de control.

La protecció de dades en l’àmbit laboral sempre ha estat envoltada de polèmica. Fins fa poc, però, es mantenia en la col·lisió dels drets fonamentals del treballador respecte a la seva intimitat amb l’ús – i moltes vegades abús- de la tecnologia per part de la direcció empresarial. L’accés indegut a les comunicacions electròniques del treballador (cas Barbulescu) o la utilització indiscriminada de les càmeres de vigilància són dos dels exemples més coneguts.

L’Agència aborda ara temes de molta actualitat. Per exemple, l’ús de les xarxes socials per part dels departaments de selecció de personal que no  tenen permís per indagar en els perfils dels candidats, ni durant el procés de selecció ni durant l’execució del contracte, encara que el perfil sigui d’accés públic. L’empresa, fins i tot, no està legitimada per sol·licitar “amistat” als candidats perquè proporcionin accés a continguts dels seus perfils.

Pel que fa als sistemes interns de denuncies, s’admeten denuncies anònimes i, quan no ho sigui, la confidencialitat de la informació i del denunciat han de preservar-se. Només es podran accedir aquestes dades en cas de procediments disciplinaris i notificacions a les autoritats de fet constitutius d’il·lícit penal o administratiu.

Respecte el registre de jornada laboral, l’AEPD recomana que aquest sigui el menys invasiu possible, sense que sigui d’accés públic ni visible per tots. I aquesta informació no es pot fer servir per finalitats diferents com, per exemple, geolocalitzar al treballador.

L’Agència s’ocupa també de les víctimes d’assetjament a la feina i de la violència de gènere, atorgant amb caràcter general la consideració de categoria especial de les dades personals, considerant-los dades sensibles que requereixen una protecció reforçada.

L’Agència recorda que l’única base jurídica que legitima el tractament de les dades és l’execució d’un contracte de treball (a més del imperatiu legal o per un conveni col·lectiu).  I cal facilitar la informació corresponent, explicar els drets que assisteixen als treballadors en aquesta matèria i com exercir-los.

Són tots temes rellevants en l’àmbit laboral que, empresaris i treballadors han de tenir molt present en el dia a dia.

Cuideu-vos!

IA, Màrqueting i Protecció de Dades

per

IA, Màrqueting i Protecció de Dades

 La intel·ligència artificial (IA), en contraposició a la natural, es la intel·ligència duta a terme per les màquines. Marvin Minsky assigna a la intel·ligència artificial la “realització de sistemes informàtics amb un comportament que en l’ésser humà qualificaríem d’intel·ligent”. Està destinada a resoldre els tipus de problemes que, fins ara, estaven reservats als éssers humans.

Les aplicacions quotidianes de la IA són cada cop més freqüents: quan parlem amb un assistent de veu (Alexa) que aprèn dels nostres gustos, consultem una ruta en temps real a Google Maps, aplicacions de streaming com Spotify o Netflix aprenen de les nostres preferències i de la nostra activitat per fer-nos recomanacions. I que dir de l’inefable Facebook que, un estudi de La Universitat de Stanford va concloure que la xarxa social podia jutjar la nostra personalitat millor que els amics o la família, i fins i tot, millor que nosaltres mateixos. Tot a partir de determinat nombre de likes (i no massa).

Com és natural, la IA té una infinitat de camps de treball. Un d’ells, i un dels més importants, és el màrqueting digital. Entre les capacitats necessàries per desenvolupar una estratègia de màrqueting digital, hi ha una imprescindible que és la capacitat analítica. I aquí la IA resulta imprescindible per, d’una banda, conèixer les motivacions, els objectius, les aspiracions i el comportament dels usuaris i, de l’altre, la anàlisis dels resultats de totes les activitats de màrqueting que portem a terme.

La IA ens pot ajudar, per exemple, en el anàlisis predictiu (podem avançar-nos a les necessitats de l’usuari per oferir-li productes i serveis fins i tot abans que en sigui conscient); en la gestió de clients (CRM) per gestionar leads (clients potencials) i convertir-los, via embut de vendes, finalment en clients; naturalment, podem fer servir IA per publicitat digital nativa fent servir cookies (o píxels de FB), chatbots i tècniques de Machine learning. Fins i tot ens pot ajudar en la generació de continguts gràcies a la tecnologia de Processament del Llenguatge Natural (PLN).

I tot això de la IA parteix de dades, de les nostres dades, per donar resultats. I, com són les nostres dades, ha generat, com diu l’AEPD, molts dubtes entre usuaris, especialistes, autoritats  i la indústria en relació a aspectes de compliment normatiu, respecte als drets dels interessats i seguretat jurídica de tots els intervinents.

No hi ha dubte dels immensos beneficis que ens reporta ja la IA i els que ens reportarà en el futur. Però cal que tinguem present que no tot val i que la nostra privacitat és l’última frontera de la tecnologia. Traspassada aquesta, el futur serà molt complicat.

Cuideu-vos!

Data Pro Quo

per

Quid Pro Quo és una expressió llatina, d’ús molt freqüent en l’àmbit jurídic, que podríem traduir com “una cosa per una altre”. Es refereix al que es dona a canvi d’una altre cosa.

Aprofitant el joc de paraules, l’empresa Shackleton ha presentat Data Pro Quo, la primera màquina vending en la que es paga amb dades. Sí, els productes no es paguen amb diners sinó amb les nostres dades. Partint del concepte que les dades són la nova moneda, l’empresa ho ha dut a la pràctica de forma literal.

Ja estem acostumats a canviar dades per serveis, encara que fins ara ho fèiem de forma implícita. Ho fem cada dia dotzenes de vegades: quan volem entrar en una pàgina web (recordem les cookies), quan volem baixar un document o un ebook, quan ens instal·lem una app i tants altres exemples.

Ja fa temps que vam perdre la innocència. Al principi pensàvem que els productes i serveis on line eren gratuïts. Omplíem formularis a tort i a dret, baixàvem qualsevol mena de infoproducte com si no hi hagués un demà i, per descomptat, instal·làvem apps diàriament (heu comptat quantes apps teniu instal·lades en el mòbil?). Per no parlar de les xarxes socials que són verdaderes ionquis de les dades.

Perquè tot aquest cabdal de dades que corre per Internet requereix una colossal infraestructura formada, entre altres, per centenar de milers de servidors, milions de kilòmetres de fibra òptica i una gestió brutal de l’energia necessària per que nosaltres puguem enviar un whastapp. I això té un cost molt elevat.

Amb Data Prop Quo ens trobem amb la primera proposta honesta de intercanvi de dades per producte. El funcionament és el mateix que qualsevol màquina de vending en la que l’usuari tria el producte que vol comprar. I per pagar, en comptes de diners o targeta (no s’admet altre forma de pagament), ha de respondre a una sèrie de preguntes començant per el càrrec (la màquina està destinada a entorns corporatius) i, en funció del perfil,  apareixen diferents qüestions que,  un cop contestades, donen accés al producte desitjat.

A més d’honesta i creativa, la proposta és intel·ligent en el sentit que considera a l’usuari com una persona formada, que valora la seva privacitat i a qui, de forma oberta, se li pot proposar l’intercanvi de dades per producte.

Com sempre, haurem d’estar atents a la gestió de les dades, un cop recollides, des del punt de vista de la privacitat i el control que faci l’empresa sobre el risc d’una eventual fuita de dades del servidor intern. Però això serà tema d’un altre post.

Cuideu-vos!

Nou Codi de Conducta de Tractament de Dades en l’Activitat Publicitària sota el RGPD

per

A finals de l’any passat, l’AEPD va aprovar el primer Codi de Conducta sota el RGPD. Aquest Codi és el de Tractament de Dades en l’Activitat Publicitària. Probablement eclipsat per altres novetats com l’entrada en vigor del nou Codi de Conducta sobre l’Ús de Influencers en la Publicitat (“Inflluencer”: aquí tens els teu Codi), el sector no li ha prestat prou atenció. Així que, en les properes ratlles mirarem de fer un resum de les novetats i de repassar-ne els punts clau.

Diguem, d’entrada, que el contingut principal del Codi és l’establiment d’un sistema extrajudicial per tramitar reclamacions sobre protecció de dades i publicitat, àgil, eficaç i gratuït per als consumidors. L’elaboració dels Codi de Conducta està recollida en els articles 40 i 41 del RGPD. El RGPD estableix que les autoritats de control han de promoure l’elaboració de codis de conducta destinats a contribuir a la correcta aplicació del Reglament, tenint en compte les característiques específiques dels diferents sectors de tractament i les necessitats específiques de les microempreses i les petites i mitjanes empreses .

En la primera part, el Codi revisa els principis de tractament de dades que la indústria publicitària ha de complir, en especial fa referència a les mesures de protecció de dades des del disseny i per defecte i el principi de minimització. També recorda l’obligació de informar als interessats del tractament de les seves dades amb finalitats de màrqueting, que el consentiment s’ha de donar separada i inequívocament o que l’interès legítim exigeix una ponderació. També recorda la necessitat de consulta prèvia als sistemes d’exclusió publicitària si no hi ha consentiment exprés.

Potser un dels aspectes més rellevants del Codi és el nou sistema extrajudicial de resolució de reclamacions de protecció de dades i publicitat. El procediment que s’estableix permet que els usuaris que ho desitgin presentin reclamacions gratuïtament contra les empreses adherides al Codi quan entenguin infringits els seus drets de protecció de dades en el marc d’una activitat publicitària, com ara: la recepció de publicitat no desitjada, l’exercici de drets relacionats amb la publicitat (com el d’oposició), i el tractament de dades en promocions publicitàries o mitjançant cookies publicitàries, entre altres.

I per les empreses, ofereix un mecanisme de resolució de reclamacions especialitzat, àgil, de baix cost i eficaç, alternatiu a la intervenció administrativa. I es considera una mesura de responsabilitat proactiva i pot ser un atenuant en cas d’eventuals sancions.

A aquest Codi si poden adherir qualsevol de les entitats de la indústria publicitària. És una eina útil en matèria de Compliance que ajudarà a les empreses a millorar la seva reputació davant del consumidor, augmentant la seva confiança. I ajudarà als consumidors a mantenir la seva privacitat sota control.

Cuideu-vos!

Multes AEPD: Sanció per 8 correus sense còpia oculta

per

A principis de desembre, l’Agència Espanyola de Protecció de Dades publicava la resolució per la que s’imposava a un despatx d’advocats una sanció de 10.000 €. El motiu? Haver enviat un correu electrònic a vuit destinataris, informant sobre el bloqueig de les seves comptes, sense utilitzar la copia oculta.

EL RGPD estableix en l’article 5 els principis que han de regir el tractament  de les dades personals i menciona entre ells el de “integritat i confidencialitat”. L’article exigeix les dades “seran tractades de tal  manera que es garanteixi una seguretat adequada”.

Alhora, l’article 32 del RGPD “Seguretat del tractament”, estableix una sèrie de mesures tècniques i organitzatives que garanteixen un nivell adequat al risc que s’ha definit. Entre elles està la capacitat de garantir la confidencialitat de les dades personals.

Entén l’Agència que, de la documentació revisada, hi havia indicis suficients de que el despatx d’advocats havia vulnerat l’article 32 RGPD perquè s’havia produït una bretxa de seguretat dels seus sistemes. Per aquesta infracció, l’AEPD considera que la sanció que correspondria seria d’advertència, instant al denunciat a que corregeixi el efectes de la infracció comesa i s’adeqüi a les exigències de l’article 32.

En canvi, per la infracció de l’article 5.1 f) del RGPD la sanció que correspon és una multa per import de 10.000 €. I el que és més important, al ser una infracció de l’article 5 RGPD, la sanció podria arribar fins als 20.000.000 € o el 4% del volum de negoci total anual global de l’exercici financer anterior, optant per la de major quantia. Una barbaritat!

En efecte, un disbarat de sanció però que posa de manifest la importància que la protecció de dades està adquirint cada dia més. Convindreu amb mi que 10.000 € de multa per 8 correus és una sanció molt important.

I no és una sanció a una gran empresa sinó a un modest despatx d’advocats. És el que es coneix com “avís a navegants”. La protecció de dades requereix que tots fem un esforç per entendre els seus objectius finals i posem les mesures necessàries per complir. Les regles del joc estan per seguir-les i això no és una excepció.

Cuideu-vos!

Multes AEPD: no hi ha dos sense tres?

per

Primer de tot, permeteu-me la llicència de la traducció del títol de l’espanyol. No estic segur que sigui del tot correcte però és que encaixa perfectament amb la situació que estem vivint. Abans d’ahir una altre multa rècord de l’AEPD. Aquest cop a Caixabank per un import de 6 milions d’euros, superant els 5 de BBVA de fa uns dies.

 A la sanció del BBVA ens hi vam referir la setmana passada. I tot el que vam dir llavors és perfectament aplicable al cas present. A Caixabank, com van fer amb BBVA, li han imposat dos sancions; una lleu, de 2 milions d’euros i una de greu, per un import de 4 milions d’euros.

La lleu correspon a la vulneració dels articles 13 i 14 del RGPD i la greu per saltar-se l’article 6 del Reglament. Recordem que l’article 13 fa referència a la informació que s’haurà de facilitar quan les dades personals s’obtinguin de l’interessat. I que el 6 parla de la Licitud del tractament. Segons l’AEPD, Caixabank incompleix els requisits establerts per a la prestació d’un consentiment vàlid, en tant que manifestació de voluntat específica, inequívoca i informada tal com demana el RGPD. Fins i tot es menciona una cessió il·lícita de dades personals a empreses del Grup Caixabank.

També, com en el cas del BBVA, l’AEPD commina a Caixabank a que, en el termini de 6 mesos, adeqüi a la normativa les operacions de tractament que realitza, la informació que ofereix als seus clients i els procediments que fa servir per recollir el consentiment.

Dit això,  algunes consideracions sobre la marxa. D’aquella multa a Facebook de 1,2 milions d’euros el 2017 hem passat a les actuals. Sembla que hi ha un salt quantitatiu molt important. I sembla que a l’Agència no li tremola el pols, que ha perdut la por. Encara estem lluny de les multes de desenes de milions però estem en camí.

I  el que em sembla molt rellevant és que l’AEPD obligui expressament a les empreses a esmenar els procediments per adequar-los a la normativa. Això posa de manifest la voluntat de que les coses es facin ben fetes. I, a ben segur, que aquestes modificacions no seran gens senzilles donada la mida de les entitats afectades.

Hi haurà una tercera sanció en aquesta línia? Podria ser un altre banc?

La resolució, de 177 pàgines, caldrà llegir-la amb atenció. Però sens dubte, això és un clar avís a navegants. Haurem d’estar atents.

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web