Derechos y libertades digitales de las personas

2.1. El desarrollo de los derechos humanos de “cuarta generación”.
2.2. La libertad de acceso a la información en Internet: exclusiones e inclusiones digitales.
2.3. La libertad de expresión, de asociación y de pensamiento en el ciberespacio.
2.4. El asesoramiento jurídico de Social Media Managers y Community Managers.
2.5. Derecho, menores y familia en entornos digitales.
2.6. La neutralidad en la Red versus monopolios y oligopolios tecnológicos.

Vols assetjar a algú amb un perfil fals? No és bona idea. 

per

La setmana passada parlàvem de la utilització de les xarxes per cobrar un deute de forma poc ortodoxa, per dir-ho suaument. Ara volem parlar d’una pràctica més que habitual i molts més execrable com és la d’obrir perfils falsos a la xarxes socials, pàgines de contacte o simplement d’anuncis, provocant un assetjament o directament una humiliació vers un altre persona.

Veiem alguns avenços en la lluita contra la violència digital en la nova Llei.

La novetat

Aquesta conducta tindrà, a partir del proper 7 d’octubre, resposta penal. En efecte, el dia 7 entrarà en vigor la nova Llei Orgànica 10/2022, de 6 de setembre, de Garantia Integral de la Llibertat Sexual: és la coneguda popularment com “llei del només sí és sí”.

En la nova redacció s’ha modificat l’article 172 del   Codi Penal vigent per, com diu el preàmbul de la Llei,  ”donar resposta especialment a les violències sexuals comeses en l’ àmbit digital”. I explica que aquestes violències comprenen, entre d’altres, la difusió d’actes de violència sexual a través de mitjans tecnològics, la pornografia no consentida i l’extorsió sexual.

Per primera vegada, els perfils falsos en xarxes social per assetjar entren en el Codi Penal espanyol.

La conducta

Exemples d’aquesta conducta serien la creació d’un perfil fals en una web de cites (o d’escorts) amb ànim d’humiliar-la. O pujar a una xarxa social, amb un compte fake, imatges humiliants retocades amb l’ànim d’assetjar-la.

La conducta que es penalitza no es tant crear un perfil per obtenir un benefici o perjudici genèric, sinó de la creació d’un perfil fals per assetjar, fustigar o humiliar a un altre.

Les penes

La Llei considera com delicte d’assetjament la utilització sense permís de la imatge d’una altra persona per a “realitzar anuncis o obrir perfils falsos en xarxes socials, pàgines de contacte o qualsevol mitjà de difusió pública, ocasionant-li a la mateixa situació d’assetjament, fustigació o humiliació“. Aquests fets es castigaran també amb penes de presó tres mesos a un any o multes de sis a dotze mesos.

L’assetjament a l’empresa

La Llei ha modificat també altres articles d’interès que fan referència als actes hostils o humiliants que suposin greu assetjament a la víctima en l’àmbit de l’empresa, la sol·licitud de favors sexuals en l’àmbit d’una relació laboral sempre que provoquin una situació greument intimidatòria, hostil o humiliant o la difusió, revelació o cessió a tercers d’imatges o gravacions sense autorització de la víctima, el que es coneix com sexting.

 

L’assetjament no ha estat mai una bona idea, sempre ha estat un delicte i, ara, la Llei ha fet un esforç per tal de perseguir aquestes conductes detestables. I hem de ser conscients que l’assetjament, com totes les conductes delictives o simplement reprovables, és cosa de tots, no tan sols dels afectats. Tots podem ajudar en la nostra mesura. No mirar cap un altre cantó i implicar-nos ja és un pas endavant.

Com sempre, cuideu-vos!

Què sap Internet de tu?

per

L’ús que fem d’Internet, des de les nostres preferències de navegació fins als continguts que compartim en xarxes socials, creen un rastre denominat empremta digital
La teva empremta digital també la conformen els continguts que comparteixen terceres persones sobre tu, amb consentiment o sense el, i que t’identifican a internet.

Què és una Empremta Digital?

Sempre que fem servir Internet, deixem un rastre d’informació personal que es coneix com empremta digital. L’empremta s’alimenta de quasi totes les activitats que fem a la xarxa. Per exemple, quan visitem un lloc web, fem una publicació en una xarxa social, ens subscrivim a una newsletter, fem una compra o deixem una opinió en un comerç estem fent créixer la nostra empremta digital.

Aquestes activitats, conegudes per tots, es coneixen com empremtes digitals actives perquè l’usuari comparteix voluntàriament la informació personal de forma conscient. Si completem un formulari de registre i donem el nostre consentiment perquè tractin les nostres dades, estarem contribuint a la nostra empremta digital activa.

Però, què passa amb la nostra empremta digital passiva?. Aquesta es crea quan es recull informació de l’usuari sense que aquest se n’adoni. El primer exemple el trobem quan els llocs webs recopilen la nostra IP o ens instal·len cookies en el nostre navegador per rastrejar la nostra activitat i poder enviar-nos, per posar un cas, publicitat segmentada.  O quan donem un “like” o compartim un contingut en un xarxa social que els permetrà crear un perfil sobre tu.

La identitat digital

Tota aquesta empremta digital que generem es converteix en el que es denomina “identitat digital” a la xarxa. Això inclou des d’empremtes desitjades com pot ser un perfil de Linkedin o aparèixer a la pàgina web de l’empresa fins aquelles referències nostres que poden afectar a la nostra reputació i que potser no en som ni conscients.

I la identitat digital va lligada a la “reputació digital” (el que també es coneix com “marca personal”, anàloga a la reputació en el món analògic que tant bé coneixem i sovint patim. Si el que Internet sap de nosaltres és negatiu, lo primer que patirà serà la nostra reputació. I això pot ser degut, habitualment, a la nostra empremta digital passiva de la que siquiera ens som conscients. A la xarxa hi pot haver una ressenya negativa o una fotografia que ens agafa en un mals pas i que nosaltres no sabem de la seva existència.

És important l’empremta digital?

El tema reputacional, en sí mateix, ja és prou important. Imaginem que volem que ens admetin en una escola, universitat o en determinada empresa. O, simplement, volem contraure matrimoni. O som una persona famosa o volem fer carrera, diguem-ne, política o similar. O hem estat víctima d’un assetjament i han publicat un vídeo de contingut sexual (cas que es va donar a principi d’estiu amb un conegut actor). Els exemples són molt nombrosos.

Però l’exposició a la xarxa pot suposar altres perills. Atacs de phishing aprofitant la informació nostra que circula a Internet, que es difongui contingut compromès destinat a un cercle privat, assetjaments de tot tipus aprofitant el que saben de nosaltres (tema delicat especialment per determinats col·lectius: menors, víctimes de violència sexual, etc.), xantatges en l’àmbit empresarial són només alguns exemples.

Tinguem sempre present que quan publiques una informació a Internet és com si la tatuessis: costa molt esborrar-la. I un cop publicada perdem el control sobre l’ús que en faran els demés de la informació.

Protegir la teva empremta digital

Aquest tema serà objecte d’un proper post però, en síntesi, es tracta de reduir la nostra exposició a la xarxa. Reduir les fonts d’informació que et mencionen, limitar la quantitat d’informació que comparteixes, ser curós amb les xarxes socials, revisar la nostra configuració de privacitat, evitar llocs web insegurs, no fer servir Wifis públiques, tenir una política de contrasenyes, revisar els dispositius mòbils o fer servir una VPN (Xarxa Privada Virtual) poden ser algunes recomanacions a seguir.

 

Com sempre, cuideu la vostra reputació digital i cuideu-vos vosaltres mateixos!

Apps infantils, estan en perill els nostres fills?

per

A propòsit del ressò que el professor de la UOC César Córcoles es va fer recentment d’un Estudi de la Universitat de California (“Won’t Somebody Think of the Children?”) sobre les apps infantils, ens sembla oportú fer algunes consideracions.

I això perquè, com es obvi, els infants suposen el col·lectiu més vulnerable pel que fa a la privacitat a Internet. A la seva curta edat, –pocs coneixements, menys experiència i comportament grupal– se li afegeix el fet que els adults els hi proporcionem una eina ­–el mòbil­– amb tantes virtuts com perills potencials.

Quines són les estadístiques de l’Estudi?

Perquè ens fem una idea, l’estudi citat assegura que un 19% de les aplicacions dirigides al públic infantil recopilen dades dels seus usuaris de manera il·legal. És a dir, recopilen informació personal, sovint a través de tercers, sense complir amb la normativa.

Els investigadors han examinat el compliment de la COPPA (Children’s Online Privacy Protection Rule), la normativa americana que imposa determinats requisits als operadors de llocs web o serveis en línea que recullen informació personal de nens menors de 13 anys. I la conclusió és que el 57% de les aplicacions infantils gratuïtes més populars dels Estats Units vulnera la privacitat del menors. Un panorama poc encoratjador.

Quina informació obtenen?

La informació més freqüent que les aplicacions obtenen dels seus usuaris es la ubicació, quan aquesta és innecessària tret que l’aplicació sigui de mapes o del temps. Això ho aprofita l’algoritme publicitari per fer recomanacions de productes i serveis a prop de l’usuari. També és habitual recollir l’identificador únic, es a dir, el compte de correu que s’ha fet servir per registrar-se en l’app. També poden tenir accés als contactes, fotos, càmera, micròfon i un llarg etcètera. Feu-ne la prova. Quedareu esparverats!

Què s’està fent per minimitzar-ho?

Però no està tot perdut. Assenyala el professor Córcoles que “afortunadament, tant Google con Android con Apple amb IOS s’han tornat més estrictes amb els permisos que podem donar a les aplicacions. Tot i això, continuen havent-hi vulneracions importants. I, si això é un problema per un adult, encara ho és més per els nens, que haurien de tenir més protecció”.

Mica en mica, també, apareixen noves normatives per tractar de minimitzar l’impacte en la privacitat dels menors. Així podem citar la California Age-Appropriate Design Code Act, la nova llei que California acaba d’aprovar per protegir els menors.  Obligarà a les xarxes a garantir la seguretat dels usuaris més joves en matèria d’algoritmes i publicitat dirigida, entre altres. Les empreses no podran compartir o vendre qualsevol informació personal que no sigui necessària per el funcionament del servei.

Què diu el RGPD?

Diu que el consentiment només serà vàlid a partir del 16 anys. A Espanya, però, la LOPDGDD en virtut de la potestat que li atorga el RGPD, s’ha fixat l’edat en 14 anys. A la mateixa Llei, es planteja promoure una llei dirigida específicament a garantir els drets del menor davant l’impacte de Internet.

Recomanacions

La primera i més important és la supervisió parental. Hem d’entendre que els nens tenen mòbil a partir dels 10 anys (o abans). I que no tenen un telèfon sinó un smartphone. I la diferència és substancial perquè el smartphone els obre la porta a un món d’adults per el qual no estan encara preparats.

Activar els controls parentals, configurar el mòbil amb les opcions de privacitat adequades, revisar els permisos de les aplicacions, inhabilitar els identificadors són alguns altres que podem aplicar. Podeu trobar ajuda a is4k.

I diàleg. Un diàleg obert i sincer. Amb els nens, amb la família, amb els pares d’altres nens i amb l’escola. No parlar-ne no es una opció.

Com sempre, cuideu-vos i cuidem els més petits!

Menors i empremta digital

per

El post d’avui està propiciat per el recent naixement del net d’uns bons amics. Ha sigut un nen que ha nascut amb tots els pronunciaments favorables. I, com és natural, el primer que han fet els pares ha estat fer fotografies i difondre-les entre família, amics i coneguts via Whastapp i altres xarxes socials.

I què menys, direu. Des de que existeix la fotografia que els orgullosos pares han volgut immortalitzar el naixement del fill i ensenyar-la a quanta més gent millor. I això està molt bé, faltaria més, però és que ara tenim una nova variable que hem de considerar: l’empremta digital.

Abans les fotografies s’ensenyaven en un àlbum de paper. Un cop vistes, l’àlbum és guardava en un prestatge i fins la propera. Ara, no. Les fotografies són digitals i es reprodueixen a la xarxa a tota velocitat. I queden, sobretot queden per sempre. I aquest rastre del nen o de la nena, tant bufons, queda des del naixement, fins i tot des d’abans si els pares comparteixen les ecografies, i l’acompanyarà tota la vida. I hi anirem afegint: les primeres passes, la primera dent, el primer “papà” o “mamà” (això en vídeo) i així fins tenir un recull de centenars d’imatges del nadó fins que sigui major d’edat i pugui decidir. En aquell moment la seva empremta digital serà molt extensa.

El problema

La primera obvietat és que quan es puja una imatge a Internet, es perd el control sobre ella.

A partir d’aquí poden passar moltes coses bones però també de no tant bones. En el primer cas, per exemple, que una empresa de publicitat ens ofereixi un contracte publicitari per explotar la imatge del nen. Però de l’altre banda, ens podem trobar des d’empreses que facin servir la imatge sense permís fins fer servir la foto per pornografia infantil en mans de pedòfils (grooming).

El Sharenting

Com no, Sharenting és un anglicisme que combina dos termes, share (compartir) i parenting (criança). I descriu l’activitat de documentar exhaustivament i compartir irreflexivament en el món digital el creixement dels nens. Això passa sobretot a Facebook, Instagram i WhatsApp. Si l’activitat és excessiva es denomina oversharenting.

És legal publicar fotos de menors?

A Espanya, la LOPD estableix la majoria d’edat per que el menor pugui gestionar la seva privacitat a Internet en els 14 anys. Això vol dir que si vol publicar una foto ho pot fer sense el consentiment dels pares. I els pares no poden publicar un foto si el menor no ho autoritza. Si publiquen sense consentiment s’exposen a una sanció.

Per sota dels 14 anys, els progenitors o els tutors legals continuen tenint tot el poder de decisió. Si el menor vol crear un perfil a una xarxa social, necessita autorització.

En el cas de parelles separades, no pots publicar fotos del menor sense consentiment de l’altre part.

Recomanacions

Més enllà de la prudència i el sentit comú, podríem apuntar alguns consells.

  • Abans de pujar una foto del menor, pensa-ho dos vegades. Tot els que es publica, queda.
  • I, un cop publicat, queda fora del nostre control.
  • Pensar a llarg termini. La foto que ara és graciosa pot perjudicar-lo en el futur
  • Compte amb el context de la fotografia. Pot oferir molta informació com edat, estatus econòmic, ubicació (a banda del geoposicionament per les metadades), la relació amb altres persones, etc.
  • No publicar fotos del menor despullat o en situacions incòmodes.
  • Llegir les condicions de servei de les xarxes socials.
  • Preguntar al menor, tan aviat com sigui possible, si vol que pugem la foto a Internet. No ens eximeix de responsabilitat però facilita la reflexió i implica al menor en la decisió.
  • No publicar fotos d’altres menors sense consentiment dels pares (per exemple, fotos d’aniversari o del col·legi).
  • Supervisar els continguts que el menor puja a la xarxa.

Com recomanació genèrica, seguir les indicacions de la web is4k (Internet Segura for Kids), un portal d’INCIBE. Està plena de bons consells explicats de forma amena i amb continguts per compartir amb els menors.

Què fem si volem retirar les fotos (dret a l’oblit)?

En general, no es una bona idea publicar fotos de nens a les xarxes socials més enllà d’algunes fetes amb cura i prudència.

Però si ho necessitem, està al nostre abast l’exercici del Dret a l’oblit. La primera acció obvia és, si nosaltres no som els autors, demanar a l’autor que la retiri. Si no obtenim resultat, el Reglament General de Protecció de Dades (RGPD) ens empara en l’exercici del Dret de Supressió que, en l’àmbit d’Internet, es denomina Dret a l’oblit. D’això ja n’hem parlat i podeu trobar més informació aquí.

Com sempre, cuidem als menors i cuidem-nos!

Els morts vivents de les tecnològiques

per

Hi ha que assumir-ho: una hora o altre a tots ens arriba el moment de deixar aquest món. I aquest moment és molt delicat per els familiars del difunt. De manera que tot el que es faci per facilitar els tràmits serà de molt agrair. Però hi ha empreses que no tenen aquesta sensibilitat. I, és evident, cal corregir aquesta mancança.

Tot ve arran d’una nova condemna a Telefònica i un episodi, un més, molt desafortunat de Vodafone.

Els fets de Telefònica

En el primer cas, tal i com explica El País, Telefònica és condemnada per incloure en un fitxer de morosos a una persona, 18 anys després de morta. El jutge ha condemnat a la companyia a indemnitzar els hereus de la dona a la que va mantenir en un registre de deutors, tot i que li van suplantar la identitat.

La persona en qüestió va morir l’abril del 2003 i el febrer de 2021 la seva filla va rebre una carta d’Asnef (registre de morosos) informant-li que la difunta estava inclosa en un fitxer de morosos per un deute contret amb Telefònica. L’empresa reclamava una factura de de 182,39 euros emesa quan la dona ja havia mort. Algú va donar d’alta un telèfon fix amb les dades de la difunta però l’empresa no va esmenar l’error tot i rebre el certificat de defunció de la presumpte morosa.

La sentència imposa a Telefònica el pagament d’una indemnització de 10.000€ als familiars dels afectats, més interessos i costes.

Un verdader malson que, afortunadament, ha tingut un final, no dic feliç perquè l’experiència s’ho val, però al menys just.

La setmana passada també ens fèiem ressò d’una sanció imposada a Naturgy per un tractament il·lícit de dades personals com aquest, per no tenir actualitzades les dades tal i com exigeix el Reglament.

Els fets de Vodafone.

Segons explica Enrique Dans, un conegut periodista i activista britànic, George Monbiot, va intentar cancel·lar el contracte de mòbil de la seva mare, arran de la seva mort. La companyia va començar a posar tot tipus de dificultats i a assetjar al seu pare demanant dades con la data exacte en que havia signat el contracte, que naturalment no podia recordar, amb “extrema rudesa i agressivitat”-

Davant de la impossibilitat de cancel·lar el compte, van decidir deixar d’assumir els càrrecs. I, com no podia ser d’altre manera, Vodafone els va incloure en un fitxer de morosos en una empresa que va continuar importunant al pare.

Aquest cas, es va poder solucionar ràpidament perquè el periodista va escriure un fil molt detallat en el seu compte de Twitter que té al voltant de mig milió de seguidors. Milers de retweets i likes van fer la seva màgia amb molts seguidors relatant experiències similars. Vodafone va demanar immediatament disculpes però el periodista no es conforma perquè entén que la manera de procedir és part d’una política corporativa i vol arribar al fons de l’assumpte. Com diu el professor Dans, amb episodis com aquest, “a Vodafone se li estaran apareixen els seus mort durant bastant temps”.

La conclusió

En ambdós casos, es crea un menyscapte i una angoixa degut a l’assetjament i la impotència, absolutament desproporcionats amb el deutes quan, a més , no són veritat.

Tot sembla indicar que les actuacions responen a una política corporativa orientada donar totes les facilitats per contractar els serveis i, en canvi, a exercir màxima pressió per qui vol rescindir el contracte. I hauria de ser, al menys, tant fàcil sortir com entrar, per ser justos. El consumidor sempre és la part dèbil del contracte i ha de tenir una protecció especial.

Com sempre, cuideu-vos!

Tens dret a l’oblit!

per

El Tribunal Constitucional reconeix el dret d’un comerciant que va demanar eliminar dades desqualificatòries. I ho ha fet declarant inconstitucionals les sentències que van anul·lar la decisió de l’Agència Espanyola de Protecció de Dades (AEPD) d’atendre la petició.

Però bé, comencem per el principi. Què és el dret a l’oblit?

De forma resumida, podem dir que és el dret a sol·licitar, sota determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada pel teu nom.

Aquest dret, d’origen jurisprudencial, es troba recollit en el RGPD i en la LOPDGDD i no s’ha de confondre amb el Dret de Supressió (veurem les diferències més endavant).

L’assumpte ve de lluny, només cal recordar aquí la coneguda com “Sentència Google Spain”, pionera en la matèria.  

Repassem els principals trets d’aquest dret.

Característiques

El Dret a l’oblit es pot exercir davant dels buscadors i dels editors de les pàgines web perquè són responsables del tractament de dades personals. Preval sobre l’interès econòmic del buscador i del interès públic per garantir el dret a la privacitat. El dret apareix quan el nom d’una persona està enllaçat a publicacions que contenen informació personal. No hi ha termini per exercir-lo, sempre que hi hagin raons legítimes per fer-ho.

Requisits per exercir-lo

La norma enumera diferents supòsits que avalen l’exercici quan, per exemple, els resultats obtinguts després d’una cerca realitzada a partir del nom de la persona, els enllaços publicats amb informació de la persona fossin inadequats, inexactes, no pertinents, no actualitzats o excessius o haguessin esdevingut com a tals pel transcurs del temps.

També es podrà sol·licitar si s’evidenciés la prevalença dels drets de l’afectat sobre el manteniment dels enllaços per el servei de cerca a Internet.

El dret subsistirà encara que sigui lícita la conservació de la informació publicada en el lloc web i no es procedís al seu esborrat previ o simultani.

És important destacar que l’exercici del dret no impedirà l’accés a la informació publicada en el lloc web si s’hi accedeix fent servir altres criteris diferents al nom de qui exerceix el dret.

Limitacions

El Ple del TC ha precisat els límits del dret a l’oblit, entre els quals ha destacat el factor de la importància pública de la notícia i el de la seva antiguitat; així com la responsabilitat de les entitats que operen motors de recerca d’ Internet de respectar el dret a la supressió d’ aquests enllaços quan infringeixin la normativa de la Unió Europea i espanyola en la matèria.

Apuntar, per part nostra, altres límits que recull el RGPD com són la llibertat d’expressió i informació, el compliment d’un obligació legal, per raons d’interès públic en l’àmbit de la salut pública, quan hi hagin finalitats d’arxiu d’interès públic, investigació científica o històrica i per la defensa de reclamacions.

Procediment per l’exercici del dret a l’oblit

La normativa estableix que per exercir el dret de supressió (i, per tant, el dret a l’oblit) es imprescindible que l’afectat es dirigeixi personalment a l’entitat que tracta les seves dades (buscador o web).

Si l’entitat no respon a la petició realitzada o la resposta rebuda no es considera adequada, l’afectat pot interposar una reclamació davant l’AEPD que determinarà si l’estima o no. La decisió de l’Agència és recurrible davant els Tribunals.

Diferències entre el dret a l’oblit i el dret de supressió

Tot i que sovint es confonen el Dret a l’Oblit i el Dret de Supressió, no són exactament el mateix. Podem veure el dret a l’oblit com la manifestació del dret de supressió aplicat als buscadors d’Internet. Fa referència a la possibilitar de impedir la difusió de informació personal a través de Internet quan la seva publicació bo compleix els requisits d’adequació i pertinença previstos en la normativa..

El primer, citat en el RGPD, està desenvolupat en l’article 93 LOPDGDD pel que fa a les cerques a Internet i en l’article 94 de la mateixa Llei pel que fa als serveis de xarxes socials i similars.

El Dret de Supressió es recull el RGPD, en l’article 17 que confereix a l’interessat el dret a obtenir, sense dilació indeguda, del responsable del tractament la supressió de les dades personals que li concerneixin, el qual  estarà obligat a suprimir les dades personals quan concorri alguna de les circumstàncies que es detallen.

Resumint

El Dret a l’oblit és l’aplicació del Dret de supressió en l’entorn dels buscadors de Internet. Recentment, el Tribunal Constitucional ha dictat una sentència que referma aquest dret a Internet.

El Dret a l’oblit permet a l’afectat demanar, en certes condicions, que els enllaços a les seves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el seu nom.

El Dret el pot exercir el propi afectat davant dels responsables dels buscadors o, si no obté resposta adequada, davant l’AEPD.

A Tecnolawyer, com consultora especialista en Dret Digital i Protecció de Dades, podem determinar la informació personal vostra que circula per Internet i exercir en el vostre nom el dret a l’oblit. De forma segura i confidencial. Podeu fer-nos una consulta aquí.

Com sempre, cuideu-vos, també a Internet!           

Post relacionat: Google no oblida. L’AEPD tampoc …

Coses que no pots fer quan vols contractar persones

per

Ja hem parlat altres vegades del que es pot fer i com, i del que no es pot fer quan vols contractar a una persona per l’empresa. Hi ha unes regles del joc que, quan no es segueixen, donen pas a conseqüències no desitjades, com és el cas que avui ens ocupa.

Podem resumir l’assumpte explicant que una advocada va optar a una vacant en una empresa a través d’un portal d’ocupació. Poc després la candidata va esbrinar que l’empresa havia fet indagacions sobre ella consultant sense autorització un fitxer de morosos i va presentar una reclamació davant l’Agència Espanyola de Protecció de Dades (AEPD) que ha procedit a sancionar a l’empresa.

Segons el procediment sancionador de l’Agència, l’empresa Alquiler Seguro, SA oferia, a través de InfoJobs una plaça d’advocada. La reclamant es va inscriure en la esmentada oferta. I l’empresa, abans de trucar-la, va fer prèviament una consulta a Asnef  (Associació Nacional d’Establiments Financers de Crèdit) per conèixer la seva situació. Al no figurar en el registre, a continuació la van trucar.

Setmanes més tard, arrel d’unes gestions que l’advocada va fer amb Asnef, li van remetre un històric de consultes en la que, per sorpresa de la reclamant, apareixia la consulta de Alquier Seguro SA. Considera l’advocada que estem davant d’un accés al fitxer per una finalitat diferent de la prevista. L’empresa ho ha fet en el marc d’un procés de selecció de personal i no per valorar la seva solvència de cara a una futura relació comercial.

L’AEPD imputa a la part reclamada la comissió d’una infracció per vulneració de l’Article 6.1 del RGPD, per falta de legitimació en el tractament ja que, al seu entendre l’actuació de l’empresa no s’ajusta a cap dels supòsits que preveu la norma. L’empresa, per la seva part, va al·legar, entre altres, que aquesta situació podia haver-se donat per un error humà perquè a l’hora d’introduir el DNI de la candidata a “Asnef empresas” o va fer a “Servicio Bureau Crédito”.

Finalment, l’Agència imposa una sanció de 70.000€ que, amb el reconeixement de la responsabilitat manifestat en termini i la reducció per pagament voluntari de la sanció, queda en 42.000€. No és un import petit. Aprofitem per recordar que el reconeixement de la responsabilitat que dona peu a la reducció, fa que a efectes pràctics acabi amb la via contenciosa de reclamació.

En resum, l’empresa va fer un tractament de dades no legitimat perquè no comptava amb el consentiment (o un altre base legitimadora) per fer-ho. I això, segons la LOPDGDD, és una infracció molt greu. La contractació de persones a les empreses tenen que seguir, com amb tot, unes regles de joc. En el post citat al començament se’n recullen les principals.

Com sempre, cuideu-vos!

17.200 milions de registres perduts entre 2004 i 2021

per

Així és recull en un recent article de Visual Capitalist titulat “Visualizing The 50 Biggest Data Breaches From 2004–2021”. La veritat és que la dada objectivament resulta impressionant. És clar que si la posem en el context del total de dades que es gestionen en el món, probablement es podrà relativitzar. En qualsevol cas, el titular és prou cridaner per fer algunes reflexions al voltant de la privacitat i el seu corol·lari, la ciberseguretat.

Què és una bretxa de seguretat?

Comencem per el principi. Una bretxa de seguretat és un incident per el qual informació sensible o confidencial es copiada, transmesa o robada per un entitat no autoritzada. Això pot ocórrer com a resultat de atacs de malware, frau en pagaments, filtracions internes o divulgació no intencionada.

Entenent els fonaments de les Bretxes de Seguretat

La bretxa de seguretat consisteix en tot acte d’intromissió, il·lícit o no autoritzat que:

  • Pot ocasionar la destrucció, pèrdua o alteració accidental de les dades personals.
  • Pot permetre la comunicació, revelació o accés no autoritzats a fitxers o tractaments de dades personals.

Mesures de seguretat

El RGPD exigeix als responsables de tractament de dades que apliquin les mesures jurídiques, tècniques i organitzatives necessàries per garantir la seguretat de les mateixes.

Però la seguretat ha d’ampliar-se més enllà de la protecció de dades i ha d’envoltar tots els actius de l’empresa, començant per els actius intangibles que són molts i molt valuosos: plans de màrqueting, patents, relacions amb clients, proveïdors, partners i institucions, dades (per exemple, llistes de clients potencials), desenvolupament de software, marques  i un llarg etcètera. Aquest patrimoni es pot protegir ampliant les mesures de seguretat que apliquem a les dades.

Privacitat,  ciberseguretat i el factor humà.

La ciberseguretat és un mitjà per protegir a les organitzacions i a les persones. Les mesures són, com dèiem, jurídiques, organitzatives i tècniques. I el factor clau és, com sempre, l’humà. Perquè està a la seva mà implementar les mesures i, alhora, és l’actiu final a protegir. Les mesures de ciberseguretat són del tot imprescindibles però, de la mateixa manera, les persones hem de de ser conscients de la necessitat de protegir-nos davant de pràctiques com l’enginyeria social, el phishing, l’explotació de les xarxes socials i tantes altres pràctiques que només busquen fer-se amb les nostres dades per obtenir un benefici il·licit. Segons el 2022 Data Breach Investigations Report de Verizon, en el 82% de les bretxes va estar implicat el factor humà, inclosos atacs socials, errors i mal ús.

Mesures tècniques bàsiques

  • Ús de contrasenyes segures i doble factor d’autenticació
  • Còpies de seguretat
  • Sistemes actualitzats
  • Exposició de serveis a Internet
  • Xifrat de dispositius

¿Què hem de fer si patim una bretxa de seguretat a ? Protocol AEPD

Partint del supòsit que la nostra empresa està adequada al RGPD, l’article 33 ens imposa l’obligació de notificar l’incident a l’autoritat de control quan sigui probable que aquest constitueixi un risc per els drets i llibertats de les persones, en un termini inferior a les 72h. des de que en tinguem constància.

L’AEPD té publicada una Guia per la notificació de bretxes de dades personals.

Vigilem les nostres dades i, com sempre, cuideu-vos!

 

 

 

 

Si no pagues els serveis amb diners, ho fas amb les teves dades!

per

Això no és nou. Des de fa temps sabem que tot allò que ens donen “gratuïtament” ho estem pagant amb les nostres dades personals. Ens baixem una app per fer, posem per cas, de brúixola i ens demanen consentiment per accedir a les nostres dades, als contactes, a la nostre ubicació, a les fotografies i els vídeos i a un llarg etc. de dades.  

Tenint en compte que en el nostre telèfon tenim de mitja unes dos-centes aplicacions instal·lades, ja ens podem anar fent una idea de l’escampada de dades que hi ha.

Però tampoc cal que sigui una app, ni tan sols que la transacció es faci a Internet. Les targetes de pagament com VISA o les de fidelització de qualsevol comerç, acumulen al llarg del temps una gran quantitat de dades que permeten fer perfils molts acurats dels individus.

Què mengem, quants som a casa, de quines edats, estatus econòmic, dificultats per arribar a final de mes, quines són les nostres preferències en alimentació, viatges, música i tantes altres coses. I tot a canvi de miserables punts o algun descompte de tant en tant.

Fins aquí tot el que sabíem però ara, CaixaBank, ens ha obert encara més els ulls. I de manera francament desagradable, per dir-ho suaument. Perquè l’Agència Espanyola de Protecció de Dades l’ha sancionat amb 2.100.000€ per condicionar la prestació del consentiment als seus clients. Una multa de 2.000.000€ per condicionar l’obtenció del consentiment a l’exempció de comissions bancàries. I, una segona, perquè en el formulari de consentiment les caselles estaven premarcades. Pràctica molt habitual (també passa amb les cookies) que, en aquest cas, ha estat sancionada amb 100.000€.

Sí, heu llegit bé. Segons l’AEPD, el banc condicionava l’exempció de comissions a l’atorgament del consentiment per part del client per rebre comunicacions comercials i per cedir les seves dades a les entitats del Grup Bankia. El Reglament Europeu, diu clarament que “el consentiment quedarà invalidat per qualsevol influencia o pressió inadequada exercida sobre l’interessat que impedeixi que aquest exerceixi la seva lliure voluntat”. L’Agència valora com agreujant el gran número de clients, prop d’un milió, que havien prestat el consentiment per rebre publicitat i cedir les dades a Bankia.

La segona multa es deu q la inobservança del requisit d’obtenir el consentiment d’una manera lliure, específica, informada i inequívoca, incomplint el RGPD per quant “el silenci, les caselles premarcades o la inacció no han de constituir consentiment”. Aquesta invalidesa comporta una falta de legitimació que infringeix l’article 6.1 RGPD.

Aquestes notícies creen neguit en la societat, més si venen d’una institució que molts considerem senyera. D’una empresa de referència com aquesta i per la naturalesa del seu negoci, s’espera que, a més complir la normativa vigent, apliquin els més alts estàndards ètics en el tracte als seus clients. La sanció econòmica no tindrà més transcendència però la reputació del Banc se’n veurà afectada.  

Com diu el xef José Andrés, “lo important és que ens cuidem els uns als altres”. Podem començar perquè les empreses ens cuidin. I, no descuidem, vigilar nosaltres mateixos!

Google no oblida. L’AEPD tampoc …

per

L’Agència Espanyola de Protecció de Dades (AEPD) l’acaba de sancionar a Google amb una multa rècord de 10 milions d’euros per cometre dos infraccions molt greus: una, per cedir dades a tercers i l’altre per obstaculitzar amb un formulari confús que la tecnològica posava a disposició dels usuaris, precisament, per exercir el dret a l’oblit.

Dos infraccions molt greus contra la normativa de protecció de dades que suposen una multa rècord de 10 milions d’euros per cedir dades a tercers sense legitimació per fer-ho i obstaculitzar el dret de supressió dels ciutadans, vulnerant els articles 6 y 17 del Reglament General de Protecció de Dades (RGPD).

Pel que fa a la primera, la cessió inconsentida de dades, l’Agència ha constatat que Google envia al Projecte Lumen informació de sol·licituds que li fan els usuaris, incloent-hi la identificació, adreça de correu electrònic, motius al·legats i la URL reclamada. La finalitat del projecte és la recollida i posada a disposició de sol·licituds de retirada de contingut en una base de dades accessible al públic, el que, en la pràctica, suposa frustrar la finalitat del dret de supressió.

Recordem que el dret a l’oblit permet sol·licitar, en determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el teu nom. L’exercici d’aquest dret no elimina el contingut en sí però, al no estar disponible en els motors de recerca dels indexadors (Google, Bing, Yahoo, etc.), ho fa més difícil.

Lumen Database disposa d’un cercador de reclamacions que s’allotgen a la seva base de dades que es pot consultar per diversos paràmetres (paraules clau, remitents, temes, …)

De manera que, si pots trobar-ho a la base de dades de Lumen ja no existeix el dret a l’oblit.

Pel que fa a la segona, l’exercici del dret mitjançant el formulari que ofereix Google, l’AEPD ha entès que és complex, confon a l’usuari i feia molt difícil que es pogués exercir el dret a l’oblit correctament. El sistema conduïa a l’interessat a través de diverses pàgines per complimentar la sol·licitud, sense mencionar la normativa de protecció de dades de referència, obligant-lo a marcar opcions que se li oferien sense explicacions.

Com resultat d’aquest procediment, queda a criteri de Google la decisió de quan s’aplica i quan no el RGPD, de forma que “acceptar el dret de supressió de dades personals queda condicionat per el sistema d’eliminació de continguts per part de l’entitat responsable”.

Segons Google, ja han començat a “reavaluar i redissenyar les pràctiques d’intercanvi de dades amb Lumen a la llum de les consideracions de l’AEPD”. De les consideracions i, apuntem, de la sanció.

Siguem curosos amb la nostra informació perquè quan aquesta es publica a Internet ja no queda a les nostres mans. Com sempre, cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web