Ricard Castellet

Tres años ya de RGPD

por

Esta semana se han cumplido tres años desde que el Reglamento General de Protección de Datos entró en aplicación. Repasamos en este post algunos de los hitos más importantes y haremos un poco de balance que, como siempre, tendrá luces y sombras.

El RGPD entró en vigor el 2016 pero, gracias a una moratoria, su aplicación no empezó hasta mayo de 2018. La Protección de Datos personales no era una novedad en nuestro país, la LORTAD es de 1992 y la LOPD de 1999, pero no cabe duda que la entrada en vigor del RGPD supuso un cambio de paradigma en el tratamiento de los datos personales por parte de las empresas en España. Muchos descubrieron, a partir de aquel momento, el derecho fundamental a la privacidad o, lo que es lo mismo, garantizar a las personas el control sobre sus datos personales.

Ahora hablamos de un modelo preventivo (no reactivo por denuncias) con responsabilidad proactiva, donde se ha establecido la privacidad por defecto, desde el diseño, y todo el enfoque de las obligaciones de los responsables se tiene que hacer basado en el enfoque del riesgo.

Consentimiento reforzado, nuevas cláusulas informativas, nuevos contratos de encargado de tratamiento, medidas de seguridad (violaciones de seguridad), nuevos derechos de los interesados y figuras como el Delegado de Protección de Datos son algunas de las novedades que nos trajo el RGPD y que ahora nos resultan, además de familiares, imprescindibles en nuestro día a día en la materia.

Y las sanciones, no nos olvidamos, son considerables. España es el país que más sanciones ha puesto a Pymes en el marco europeo. Y, como siempre, al margen del importante coste económico, lo más preocupante tiene que ver con la pérdida de reputación de la empresa. Este es el intangible más apreciado y que tenemos que preservar a toda costa.

Este tiempo no ha estado exento de dificultades. Solo hay que recordar la anulación del Acuerdo Privacy Shield que daba cobertura jurídica a las transferencias de datos entre Europa y los Estados Unidos. O las modificaciones en la regulación de las cookies que, todavía hoy, incumplen muchas empresas.

Y no olvidemos la tecnología que avanza a pasos agigantados, mientras que la normativa le sigue al ritmo que puede. Con la pandemia hemos visto el auge de las videoconferencias y el teletrabajo con sus dificultades para preservar la privacidad. Y otros, como por ejemplo, el reconocimiento facial o de voz, la Inteligencia Artificial (IA), el Big Data o el Blockchain que empezaban a aparecer o directamente no existían cuando empezaron los trabajos del Grupo de Trabajo del artículo 29, allá por el 1996.  

Un balance, al fin, bastante positivo en general. Pero queda mucho camino por recorrer.

Cuidaos!

Claves sobre la Protección de Datos en el trabajo

por

La Agencia Española de Protección de Datos ha publicado una guía sobre protección de datos y relaciones laborales. El documento encara cuestiones como la consulta del empleador en las redes sociales, los sistemas  internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de datos de las víctimas de acoso al trabajo, los de las mujeres supervivientes a la violencia de género o el uso de tecnología wearable como elemento de control.

La protección de datos en el ámbito laboral siempre ha sido rodeada de polémica. Hasta hace poco, pero, se mantenía en la colisión de los derechos fundamentales del trabajador respecto a su intimidad con el uso – y muchas veces abuso- de la tecnología por parte de la dirección empresarial. El acceso indebido a las comunicaciones electrónicas del trabajador (caso Barbulescu) o la utilización indiscriminada de las cámaras de vigilancia son dos de los ejemplos más conocidos.

La Agencia aborda ahora temas de mucha actualidad. Por ejemplo, el uso de las redes sociales por parte de los departamentos de selección de personal que no  tienen permiso para indagar en los perfiles de los candidatos, ni durante el proceso de selección ni durante la ejecución del contrato, aunque el perfil sea de acceso público. La empresa, incluso, no está legitimada para solicitar “amistad” a los candidatos para que proporcionen acceso a contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias, se admiten denuncias anónimas y, cuando no lo sea, la confidencialidad de la información y del denunciado tienen que preservarse. Solo se podrán acceder a estos datos en caso de procedimientos disciplinarios y notificaciones a las autoridades de hecho constitutivos de ilícito penalti o administrativo.

Respeto al registro de jornada laboral, la AEPD recomienda que este sea lo menos invasivo posible, sin que sea de acceso público ni visible por todos. Y esta información no se puede usar para finalidades diferentes como, por ejemplo, geolocalizar al trabajador.

La Agencia se ocupa también de las víctimas de acoso al trabajo y de la violencia de género, otorgando a todos los efectos la consideración de categoría especial de los datos personales, considerándolos datos sensibles que requieren una protección reforzada.

La Agencia recuerda que la única base jurídica que legitima el tratamiento de los datos es la ejecución de un contrato de trabajo (además del imperativo legal o por un convenio colectivo).  Y hay que facilitar la información correspondiente, explicar los derechos que asisten a los trabajadores en esta materia y como ejercerlos.

Son todos temas relevantes en el ámbito laboral que, empresarios y trabajadores tienen que tener muy presente en el día a día.

Cuidaos!

IA, Marketing y Protección de Datos

por

IA, Marketing y Protección de Datos

La inteligencia artificial (IA), en contraposición a la natural, se la inteligencia llevada a cabo por las máquinas. Marvin Minsky asigna a la inteligencia artificial la “realización de sistemas informáticos con un comportamiento que en el ser humano calificaríamos de inteligente”. Está destinada a resolver los tipos de problemas que, hasta ahora, estaban reservados a los seres humanos.

Las aplicaciones cotidianas de la IA son cada vez más frecuentes: cuando hablamos con un asistente de voz (Alexa) que aprende de nuestros gustos, consultamos una ruta en tiempo real en Google Maps, aplicaciones de streaming como Spotify o Netflix aprenden de nuestras preferencias y de nuestra actividad para hacernos recomendaciones. Y que decir del inefable Facebook que, un estudio de La Universidad de Stanford concluyó que la red social podía juzgar nuestra personalidad mejor que los amigos o la familia, e incluso, mejor que nosotros mismos. Todo a partir de un determinado número de likes (y no demasiados).

Cómo es natural, la IA tiene una infinidad de campos de trabajo. Uno de ellos, y uno de los más importantes, es el marketing digital. Entre las capacidades necesarias para desarrollar una estrategia de marketing digital, hay una imprescindible que es la capacidad analítica. Y aquí la IA resulta imprescindible para, por un lado, conocer las motivaciones, los objetivos, las aspiraciones y el comportamiento de los usuarios y, por el otro, el análisis de los resultados de todas las actividades de marketing que llevamos a cabo.

La IA nos puede ayudar, por ejemplo, en el análisis predictivo (podemos avanzarnos a las necesidades del usuario para ofrecerle productos y servicios incluso antes de que sea consciente); en la gestión de clientes (CRM) para gestionar leads (clientes potenciales) y convertirlos, vía embudo de ventas, finalmente en clientes; naturalmente, podemos usar IA para publicidad digital nativa usando cookies (o píxeles de FB), chatbots y técnicas de Machine Learning. Incluso nos puede ayudar en la generación de contenidos gracias a la tecnología de Procesamiento del Lenguaje Natural (PLN).

Y todo esto de la IA parte de datos, de nuestros datos, para dar resultados. Y, como son nuestros datos, ha generado, como dice la AEPD, muchas dudas entre usuarios, especialistas, autoridades y la industria en relación a aspectos de cumplimiento normativo, respecto a los derechos de los interesados y seguridad jurídica de todos los intervinientes.

No hay duda de los inmensos beneficios que nos reporta ya la IA y los que nos reportará en el futuro. Pero hace falta que tengamos presente que no todo vale y que nuestra privacidad es la última frontera de la tecnología. Traspasada esta, el futuro será muy complicado.

Cuidaos!

Data Pro Quo

por

Quid pro quo es una expresión latina, de uso muy frecuente en el ámbito jurídico, que podríamos traducir como “una cosa por otra”. Se refiere a lo que se da a cambio de otra cosa.

Aprovechando el juego de palabras, la empresa Shackleton ha presentado Data Pro Quo, la primera máquina vending en la que se paga con datos. Sí, los productos no se pagan con dinero sino con nuestros datos. Partiendo del concepto de que los datos son la nueva moneda, la empresa lo ha llevado a la práctica de forma literal.

Ya estamos acostumbrados a cambiar datos por servicios, aunque hasta ahora lo hacíamos de forma implícita. Lo hacemos cada día una docena de veces: cuando queremos entrar en una página web (recordemos las cookies), cuando queremos descargar un documento o un ebook, cuando nos instalamos una app y tantos otros ejemplos.

Ya hace tiempo que perdimos la inocencia. Al principio pensábamos que los productos y servicios en línea eran gratuitos. Llenábamos formularios a diestro y siniestro, bajábamos cualquier tipo de infoproducto como si no hubiera un mañana y, por supuesto, instalábamos apps cada día (¿habéis contado cuántas apps tenéis instaladas en el móvil?). Por no hablar de las redes sociales que son verdaderas yonquis de los datos.

Porque todo este capital de datos que corre por Internet requiere una colosal infraestructura formada, entre otras, por centenares de miles de servidores, millones de kilómetros de fibra óptica y una gestión brutal de la energía necesaria por que nosotros podamos enviar un whastapp. Y esto tiene un coste muy elevado.

Con Data Pro Quo nos encontramos con la primera propuesta honesta de intercambio de datos por producto. El funcionamiento es el mismo que cualquier máquina de vending en la que el usuario elige el producto que quiere comprar. Y para pagar, en vez de dinero o tarjeta (no se admite otro forma de pago), tiene que responder a una serie de preguntas empezando por el cargo (la máquina está destinada a entornos corporativos) y, en función del perfil, aparecen diferentes cuestiones que, una vez contestadas, dan acceso al producto deseado.

Además de honesta y creativa, la propuesta es inteligente en el sentido que considera al usuario como una persona formada, que valora su privacidad y a quien, de forma abierta, se le puede proponer el intercambio de datos por producto.

Como siempre, tendremos que estar atentos a la gestión de los datos, una vez recogidos, desde el punto de vista de la privacidad y el control que haga la empresa sobre el riesgo de un eventual escape de datos del servidor interno. Pero esto será tema de otro post.

Cuidaos!

Influencers, la legislación que viene (porque viene)

por

Tiempo atrás ya hablamos de la entrada en vigor del Código de Conducta sobre el Uso de Influencers en la Publicidad que recoge un conjunto de reglas que vinculan a los anunciante adheridos a AEA (Asociación Española de Anunciantes), a AUTOCONTROL, así como a cualquier otro anunciante del sector y a Influencers que voluntariamente se adhieran al mismo.

Al margen de esta iniciativa, de carácter voluntario, la publicidad de los influencers en España se mueve en un marco legal todavía por desarrollar. Y se tiene que emprender el camino, más pronto que tarde, porque el sector movió el 2019 una facturación global de 8.000€ y la falta de regulación crea inseguridad jurídica que no beneficia, o no tendría que beneficiar, a nadie.

Según un estudio de la Universidad de Compostela, el 68% de los usuarios españoles de redes sociales siguen a influencers por lo cual las marcas ven un canal valioso para prescribirse y ganar consumidores. Y el 93% de las publicaciones publicitarias en Instagram realizadas por los 25 principales influencers españoles del sector de la moda –algunos superan el millón de seguidores– ocultan que son contenidos patrocinados, es decir, publicidad que podemos calificar como engañosa.

En este sentido, la Comisión Nacional de los Mercados y de la Competencia (CNMC) propone incluir la actividad de los influencers en la futura Ley de Comunicación Audiovisual. La Comisión propone incluir la definición de los “prestadores de servicios de comunicación audiovisual que se soportan en plataformas de intercambio de videos” que comprendería a los influencers los requisitos para ser considerados prestamistas de servicios de comunicación audiovisual.

Además de la Ley de Comunicación Audiovisual, hay otras normativas en las que nos tenemos que fijar. Por ejemplo, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) que en el artículo 20.1 exige que las comunicaciones comerciales hechas por vía electrónica tendrán que ser claramente identificables como tales, y también la persona física o jurídica en nombre de la que se hacen, tendrá que ser claramente identificable.

Y ya para acabar, mencionar la Ley General de Publicidad a efectos de la cual, anunciante es la persona física o jurídica por cuenta del cual se realiza la publicidad. Y ante una publicidad ilícita, engañosa o desleal, las acciones a llevar a cabo son las establecidas a todos los efectos por las acciones derivadas de la competencia desleal, como recoge el artículo 18 de la Ley de Competencia Desleal (LCD).

En consecuencia, tanto anunciantes como influencers harían bien al ir acomodando sus prácticas profesionales en la materia de acuerdo con estas previsiones legales. Las relaciones de las empresas con los influencers y las de estos con sus seguidores se tienen que forjar a lo largo del tiempo porque su base, como en tantos otros casos, es la confianza.

Cuidaos!

Por un puñado de dólares …

por

Este es el título de una famosa película de 1964, en la que el prolífico director de cine Sergio Leone dirigía al inefable Clint Eastwood en un spaghetti western que se convirtió en un clásico del género. No os comentaré la cinta, solo aprovecho el título para haceros la reflexión de que a menudo hay ahorros que se convierten en disgusto.

Recientemente, la Agencia Española de Protección de Datos (AEPD) publicó su Memoria AEPD 2020. El primer titular es que, durante el 2020, se presentaron un total de 10.324 reclamaciones. Casi 50 diarias, en día laborable. Y podríamos añadir cerca de un millar si añadimos los casos transfronterizos.

Las reclamaciones más frecuentes tienen que ver con servicios de Internet, inclusión indebida en ficheros de morosos, videovigilancia, recepción de publicidad y reclamación de deudas. Por sectores, los más sancionados son las entidades financieras y acreedoras, Administraciones Públicas y las empresas de telecomunicaciones.

También se han realizado 29 intervenciones con carácter de urgencia por la retirada de contenidos sexuales o violentos, difundidos por Internet, asociadas al Canal prioritario, con un porcentaje de éxito superior al 86%.

Es importante destacar el hecho de que, a pesar de la pandemia, la actividad de la Agencia se ha mantenido, poniendo de manifiesto que la implantación del teletrabajo no ha disminuido la capacidad de trabajo del Organismo.

Os pueden parecer que las reclamaciones son muchas o pocas. A mi parecer, son suficientes para reflexionar sobre si merece la pena o no que, “por un puñado de euros”, nos pongamos en manos de profesionales que nos ayuden a cumplir con la ley.

Porque siempre decimos que el coste de la adecuación de la empresa es un coste cierto pero que el coste de no adecuarse es imprevisible. El primero se puede imputar ordenadamente en la contabilidad de la empresa mientras que el segundo nos puede hacer desestabilizar la cuenta de resultados y, lo que todavía es más importante, afectar negativamente a nuestra reputación. Y esta última cuesta mucho de recuperar.

Adecuar la empresa a la normativa de protección de datos genera confianza entre empleados (son los primeros que sufren la desconfianza), a clientes y proveedores (¿somos una buena empresa pero no cumplimos con la normativa de protección de datos?),  y administraciones (si queremos, por ejemplo, licitar). Hagamos las cosas bien hechas. Cumplamos con la normativa y evitemos sanciones y daño reputacional.

Cuidaos!

Una visita al veterinario que costó 35.000€

por

A veces, nos podemos complicar mucho la vida por dejarnos llevar por los impulsos en vez de tener un comportamiento racional y ajustado a derecho. Y en la vida no vale todo y en Internet, tampoco. Así que hagamos las cosas bien y nos ahorraremos disgustos.

En una sentencia destacable en cuanto al acoso on line, el titular del Juzgado de Primera Instancia nº7 de Santander ha estimado la demanda presentada por una clínica veterinaria contra un cliente que los amenazó con que los “machacaría” en las redes sociales, cumplió la amenaza y orquestó, de manera intencionada, una campaña de descrédito de la clínica.

La sentencia entiende que esta acción va más allá del que se podría considerar una lícita crítica a la pericia profesional de los demandantes. El asunto, por vía penal, ya acabó con condena como autor de un delito leve de amenazas.

Ahora se lo condena «a que cese en la intromisión ilegítima del derecho al honor de los demandantes», a que «dé las instrucciones precisas y, si procede, la autorización a Google de retirar las afirmaciones con contenidos injuriosos, calumniosos y amenazantes «proferidas por el demandado, sus familiares, amigos y compañeros de trabajo a la página web de la clínica», y al pago de una indemnización que asciende a 34.895,83 euros.

¿Y los hechos? Pues como explica la sentencia, una pareja llevó su perro a la clínica donde le hicieron un examen general, le tomaron la temperatura y propusieron hacer más pruebas de diagnóstico. El mismo día, el demandado llevó al animal a otra clínica que diagnosticó una infección de orina. El demandado volvió a la primera clínica, llenó la hoja de reclamaciones y pidió la devolución de los 55€ que le habían cobrado por la visita. Ante la negativa a la devolución, profirió las amenazas. Días después, escribió una reseña negativa  en la página My Business de Google de la clínica. A partir de aquí, empezaron a aparecer reseñas negativas de la clínica por parte de familiares y amigos del demandado que, por supuesto, no tenían ningún cimiento.

Considera el juez de instancia que esta acción está dirigida exclusivamente a afectar negativamente al prestigio profesional público de la clínica y sus profesionales, constituyendo una extralimitación del legítimo ejercicio del derecho a la libertad de expresión.

Manifestar una opinión o una crítica legal por los servicios recibidos es perfectamente legítimo. No lo es, pero, usar las redes sociales para finalidades espurias como puede ser la de atacar directamente el prestigio profesional.

En definitiva, una visita al veterinario que acabó muy mal por no tener un comportamiento racional y ajustado  a derecho. Condena, indemnización, estrés para todos los implicados, … un verdadero despropósito. Hagamos las cosas bien que siempre es más fácil y cuesta menos.

Cuidaos!

¡Cuidado si publicas fotos de un tercero sin consentimiento!

por

Si nos dedicamos al marketing y a la comunicación tenemos que tener especial cuidado con la utilización y publicación de imágenes de terceros. Al margen de vulnerar los derechos de imagen, nos podemos encontrar con sanciones importantes por parte de la Agencia Española de Protección de Datos (AEPD).

En efecto, la Agencia ha sancionado con 9.000€ al responsable de una web por publicar material fotográfico y otros datos personales de un usuario, sin su consentimiento. Además, el usuario reclamó y no obtuvo respuesta.

Según la AEPD, y “en conformidad con las evidencias de que se dispone”, se considera que los hechos son constitutivos de dos infracciones:

  • Una primera infracción por vulneración del artículo 6 RGPD por el tratamiento sin consentimiento
  • Una segunda por vulneración del artículo 13 RGPD porque la Política de Privacidad de la página web carecía de los requisitos exigidos en cuanto al tratamiento de datos de carácter personal

Ya hemos hablado en diferentes ocasiones de la importancia de estar legitimados para tratar datos personales. El Reglamento recoge varias bases de licitud como puede ser la ejecución de un contrato, una obligación legal, por interés público, para proteger intereses vitales del usuario, por interés legítimo del responsable y, naturalmente, por el consentimiento del interesado (ver posts sobre el tema).

Entiendo que no hay que insistir en la cuestión. Si no estamos legitimados, no podemos tratar datos personales. Y punto.

Respecto a la segunda cuestión, los textos legales web, también hemos hablado (ver posts). Como responsables, tenemos obligación de informar al afectado del tratamiento de sus datos personales, tal como disponen los artículos 13 y 14 RGPD y el 12 LOPDGDD, y poner a su disposición los medios para ejercer, de forma accesible, los derechos que le corresponden.

En consecuencia, la AEPD impone, por la primera infracción, una multa de 5.000€ y de 4.000€ por la segunda. Además de los daños reputacionales que se pueden sufrir, nunca conviene recibir sanciones económicas por no haber hecho las cosas bien hechas.

Y otro día hablaremos de los derechos de imagen personal. Recordemos que el derecho a la imagen es un derecho fundamental recogido en nuestra Constitución. Dejando de lado las excepciones que marca la ley, siempre tenemos que tener el consentimiento de la persona por la captación, reproducción o publicación.

Como siempre, cuidaos!

Imagen Pixabay

He leído y acepto …

por

Así acaban (los que cumplen) los formularios web, justo antes de pulsar el botón de Enviar. La frase completa es “He leído y acepto la Política de Privacidad” e incluye un casilla para marcar (si no se marca, no se puede enviar el formulario) y un enlace para que el usuario pueda navegar cómodamente a ver las condiciones en que presta su consentimiento. Y prestarlo, o no, en función de estas condiciones.

El consentimiento es una de las bases de licitud de tratamiento más importante y más ampliamente utilizada de las que reconoce el arte. 6.1 RGPD. Hay otros como la ejecución de un contrato (por ejemplo, de servicios), por obligación legal (si lo pide un juez) o el interés legítimo, verdadero cajón de sastre para meter permisos de tratamiento de lo más variado.

Los usuarios somos cada día más conscientes de la importancia de ejercer el control sobre nuestros datos personales. Pero, ¿sabemos realmente lo que aceptamos cuando prestamos el consentimiento? ¿De verdad leemos la Política de Privacidad, las Condiciones de Uso o de Contratación? O, puestos a pedir, ¿leemos la Política de Cookies?

Y lo que es más importante, además de leer, ¿entendemos lo que dice? ¿Somos capaces de anticipar las consecuencias de nuestra decisión? ¿Estamos manifestando una voluntad en base a una decisión racional e informada que manifestamos de forma libre y espontánea? Porque así lo exige el Reglamento.

La cuestión no es sencilla de resolver. A pesar de que con el RGPD las condiciones del consentimiento se han endurecido, la realidad es que al final del día tenemos que prestar el consentimiento varias veces, desde comprar por internet hasta ver las noticias de un diario, pasando por infinidad de situaciones cotidianas (por ejemplo, actualizaciones de apps que renuevan las condiciones) que nos agotan y nos hacen optar por marcar la casilla del consentimiento sin cumplir las condiciones.

Esto sin contar que en la red encontramos, todavía, muchos formularios que no tienen Política de Privacidad o que, si la tienen, no es clara, es larga y farragosa con la letra muy pequeña y, en muchas ocasiones, las finalidades del tratamiento no se corresponden con la realidad o se incluyen cláusulas inaceptables por el usuario.

Todos tenemos claro que nuestros datos son muy valiosos para empresas que los monetizan compartiéndolos o vendiéndolos a intermediarios que crean perfiles y usando técnicas de Big Fecha, Inteligencia artificial y otras tecnologías punteras saben, cada día más y mejor, cuáles son nuestros hábitos, intereses y preferencias.

Vigilemos a quien damos nuestro consentimiento y hagamos lo posible para leer y entender las políticas de privacidad. Es importante.

Otro día explicaremos cómo leer y entender un texto legal de protección de datos.

Mientras tanto, cuidaos!

Revisión Textos Legales Web