Ricard Castellet, Author at Tecnolawyer

Teletrabajo y Ciberseguridad en tiempos revueltos

25 de marzo de 2020 por Ricard Castellet

Quizás el Covid-19 hará más por la transformación digital de la sociedad que todo lo que se ha hecho hasta ahora. Y tal vez, de golpe, nos damos cuenta de que ya no estamos en el imaginario País de Nunca Jamás de Peter Pan sino en un escenario VUCA [1] al que tenemos que hacer frente desde la responsabilidad. Y la Ciberseguridad es, sin duda, una materia que hasta ahora ha estado en un segundo plano y que tendrá mucho protagonismo a partir de ahora.

A partir de las medidas que se están imponiendo a la población para preservar su salud, el teletrabajo, forma de trabajar en la conectada sociedad del siglo XXI, se impone como clara alternativa a la habitual "presentismo", permaneciendo de una sociedad post industrial que cada vez tiene menos sentido para una gran parte de las empresas y los trabajadores.

[1] VUCA, es el acrónimo que se utiliza para describir los entornos caracterizados por la volatilidad, la incertidumbre, la complejidad y la ambigüedad. Este término procede de las siglas de las palabras inglesas volatility, Uncertainty, Complexity y Ambiguity.

Y Teletrabajo y Ciberseguridad son dos caras de la misma moneda. Y para que sea más seguro teletrabajar, os hacemos algunas recomendaciones a tener en cuenta.

- Para la empresa
  - Disponer de una Política de Uso de Medios Tecnológicos, a disposición de los trabajadores
  - Política de Seguridad a través de un dominio
  - Disponer de una VPN (red privada virtual) que cifre las comunicaciones entre el equipo remoto y el servidor (prohibir el uso de redes públicas -aeropuertos, bares, etc.)
  - Revisar las credenciales de acceso (contraseñas). Comprobar que son seguras y cambiarlas con frecuencia
  - Implementar herramientas colaborativas como videoconferencia, chats, espacios de grupo, etc.
  - Mantener actualizados los servidores, routers, infraestructura de comunicaciones, etc.
  - Formar un equipo de comunicación + técnico que pueda resolver dudas, apoya e intervenir en caso de crisis
  - Formación de los trabajadores en la materia

- Para el trabajador
  - Utilizar (a menos que no se pacte lo contrario) exclusivamente medios corporativos, siguiendo las indicaciones de la Política aprobada por la empresa.
  - Tener especial cuidado con la utilización de dispositivos propios (BYOD [1]): deben estar aprobados por la empresa y consentido por el trabajador (Política de Uso de Medios Tecnológicos)
  - Cifrar los dispositivos móviles (USBs, Discos duros, ...) y las carpetas confidenciales en los portátiles
  - Tener mucho cuidado con las "fake news", el phishing [2], el scam [3], ficheros anexos, ... El teletrabajo nos pone en una situación muy vulnerable (estamos en un lugar diferente, podemos tener problemas técnicos, distracciones, etc.) y tenemos que estar muy atentos a las amenazas.

Y, como siempre, prudencia y sentido común.

[1] Bring Your Own Device: traer el propio dispositivo
[2] Fraude de suplantación de personalidad
[3] Estafa nigeriana

COVID – 19: Lavarse las manos también en Ciberseguridad

25 de marzo de 2020 por Ricard Castellet

Hemos aprendido estos días que la mejor profilaxis con el virus es lavarse las manos. Pues también debemos lavarnos las manos en el ámbito de la Ciberseguridad. Los cibercriminales no pierden ninguna oportunidad y con el coronavirus no es diferente.

Estos días, las redes llenas de noticias y consejos sobre el coronavirus y aunque muchos son adecuados y nos pueden ayudar, encontramos también todo tipo de engaños y estafas. Sí, a pesar de encontrarnos en una situación límite, hay gente sin escrúpulos decididos a sacar partido.

Pondremos un par de ejemplos. Uno muy reciente fue advertido por la empresa de seguridad Malwarebytes que encontró un sitio web que muestra un mapa de casos de coronavirus en todo el mundo, que estaba infectado con software malicioso. El sitio web infectado es una parte del sitio real de la Johns Hopkins University. Parece exactamente lo real; Si visitas el mapa con una vulnerabilidad en el navegador (porque, por ejemplo, no está actualizado) quedarás infectado, naturalmente no con Covidien-19, pero sí con un virus que puede poner en peligro tu empresa o tu vida personal, o las dos.

Otro ejemplo: las campañas de Phishing y otras estafas en cuenta del coronavirus. Los delincuentes se aprovechan del miedo, la ansiedad y la desinformación de los usuarios para enviar correos en nombre de supuestas instituciones o empresas con el ánimo evidente de estafar al receptor. Por ejemplo, los enviados supuestamente por la Organización Mundial de la Salud (OMS) con un link a una página de acceso falsa para intentar robar las credenciales de acceso del usuario. O correos vendiendo todo tipo de protecciones, reales o cibernéticas, que al final sólo quieren estafar.

Y con el virus ha venido un aumento masivo del teletrabajo. Esto supone generalmente entornos menos seguros (en casa no tenemos la infraestructura que tenemos en la empresa), nos faltan las rutinas que tenemos en el trabajo, nos cuesta más comunicarse con compañeros y, en definitiva, estamos más expuestos en términos de Ciberseguridad.

En estas circunstancias sólo podemos acudir a las instituciones de referencia y seguir sus indicaciones. En este caso, el INCIBE (Instituto Nacional de Ciberseguridad) para empresas y is4k por la familia (no olvidemos que estos días la gente joven, y los más pequeños, pasan muchas horas conectados, lo que quiere decir, expuestos).

Al final, como siempre, protegernos lo mejor que podamos y aplicar el sentido común.

El Col·legi de Publicitaris i Relacions Públiques y TecnoLawyer firman un Convenio de colaboración

2 de diciembre de 201913 de noviembre de 2019 por Ricard Castellet

El Col·legi de Publicitaris i Relacions Públiques de Catalunya y TecnoLawyer colaboran para ofrecer asesoramiento jurídico en Derecho Digital.

TecnoLawyer, consultoría especializada en Derecho Digital y el Colegio de Publicitarios y Relaciones Públicas de Cataluña han firmado un acuerdo de colaboración por el que Tecnolawyer ofrecerá asesoramiento jurídico en el ámbito del Derecho Digital -Protección de Datos, propiedad intelectual, Marketing Digital ...- y en Consultoría Legal en Derecho Mercantil, Civil y Laboral a los colegiados y socios corporativos del Colegio.

"Con la digitalización integrada plenamente en la actividad de publicidad y relaciones públicas, es cada vez más necesario resolver cuestiones jurídicas en el entorno digital. Mediante esta colaboración con el Colegio ayudamos los colegiados a consultar y solucionar de forma ágil y rápida los temas y dudas que surgen en este ámbito. Es un privilegio estar cerca de un sector tan dinámico.", explica Ricard Castellet, director TecnoLawyer.

Mediante este acuerdo, TecnoLawyer se incorpora al Consejo Consultivo del Colegio y patrocinará actividades y eventos organizados por éste.

A vueltas con las cookies …

1 de diciembre de 20197 de noviembre de 2019 por Ricard Castellet

Parecía un tema más que superado pero una reciente sentencia de Tribunal de Justicia de la Unión Europea ha establecido que la colocación de cookies requiere el consentimiento activo de los usuarios. Por lo tanto, una casilla marcada por defecto es insuficiente.

Empezamos por explicar que las cookies son ficheros que el proveedor de un sitio de Internet coloca en el ordenador de los usuarios de este lugar y a los que se puede acceder nuevamente cuando estos vuelven a visitar el lugar con el fin de facilitar la navegación en Internet o las transacciones o de obtener información sobre el comportamiento de estos usuarios.

La obligación del responsable del sitio web, dice el Tribunal, es obtener el consentimiento antes de almacenar o acceder a cookies no esenciales (entienden por "esenciales" aquellas cookies técnicas, necesarias para el funcionamiento del sitio web). Las cookies no esenciales son, por ejemplo, aquellas que permiten hacer el seguimiento del usuario con el fin de enviarle publicidad segmentada o recoger datos estadísticos. El consentimiento no puede ser tácito, implícito o asumido. Debe ser expreso o no es.

La decisión del Tribunal pone en cuestión miles de webs que, actualmente, no solicitan primero el consentimiento antes de instalar las cookies. Y esto significa un claro incumplimiento que, aparte de costes reputacionales, supone arriesgarse a ser multado. Ni que decir tiene que la comprobación la puede hacer cualquier sólo entrando en modo incógnito desde su navegador.

Consejos

Revise y ajuste, si es necesario, la Política de Cookies. Compruebe qué cookies instala su web en el ordenador del usuario (y vea si todas le interesan o le falta alguna). Asegúrese de que las cookies instaladas están claramente explicadas en la Política de Cookies (en especial, si comparte los datos que recopile con terceros). Si es necesario, redacte su nueva versión y hágalo saber a los visitantes de su sitio web.
Implementar en la página una solución técnica que permita al usuario, de acuerdo con la Política de cookies que hemos definido, elegir qué quiere permitir que se instalen en su ordenador (al margen de las esenciales). La solución, además, informará de cómo el usuario puede cambiar o retirar el consentimiento.

E-mail marketing: ¿Qué hemos de hacer para cumplir con la Protección de Datos?

17 de octubre de 2019 por Ricard Castellet

Cumplir con el Reglamento General de Protección de Datos cuando hacemos e-mail marketing, no es complejo. Basta observar unas buenas prácticas y añadir dosis de prudencia y sentido común. A continuación repasamos algunas.

Mantener listas limpias pidiendo confirmación ( "double opt-in")

Cuando el interesado nos envíe sus datos a través de un formulario, envíen un correo de confirmación en el que debe confirmar su suscripción. Así tendremos listas más limpias y confiables.

Procesar los datos personales bajo la base de legitimación correcta

Podemos tratar los datos de los interesados por diferentes propósitos pero debemos determinar siempre cuál es la base legal que nos legitima a hacerlo: Consentimiento inequívoco, Necesidad contractual, Obligación legal, Interés legítimo, Interés público e Interés vital del interesado.

Obtener el consentimiento explícito antes de enviar correos de marketing

Si la base legal es la de Consentimiento inequívoco, enviamos los e-mails de consentimiento a los suscriptores. De este modo, nos aseguramos de que aquellos suscriptores que han mostrado interés, por ejemplo en ferias, convenciones, webinars, ..., han expresado explícitamente su consentimiento para recibir nuestras comunicaciones. Y tendremos que ofrecer también la posibilidad de denegar el consentimiento.

Informar al usuario

El usuario tiene el derecho a que se le informe, expresamente o por remisión a la Política de Privacidad, de quién es el responsable del tratamiento, la finalidad, la base de legitimación, la conservación y comunicación de los datos, los derechos que asisten a los usuarios y forma de ejercerlos. Además de cumplir con la normativa, generamos confianza en el usuario.

Ser transparentes con los datos de los usuarios

En virtud al Derecho de acceso que reconoce el RGPD, el usuario tiene que poder acceder a sus datos personales cuando lo pida. Puede pedir, también, que se le faciliten estos datos en formato digital, legible por máquinas.

Decir claramente quiénes somos

Facilitamos nuestros datos: nombre de la empresa responsable de los datos, CIF, dirección electrónica (específica para protección de datos) y postal y un número de teléfono de contacto. Generamos confianza y facilitamos la comunicación.

Explicar de donde hemos sacado los datos

O, lo que es lo mismo, explicar a los suscriptores como los hemos conocido y por qué están en nuestra lista.

Dejamos elegir lo que quieren recibir

Diferenciamos nuestra oferta de forma que se pueda elegir, con una acción positiva, la información que los suscriptores quieren recibir, sin condicionarlo. Hagámoslo fácil para todos.

Permitir la modificación / eliminación de datos personales

Los suscriptores podemos pedir modificar o eliminar su información personal de nuestros registros. Son derechos que recoge el RGPD. Y es nuestra obligación facilitar los mecanismos necesarios para poder ejercerlos.

Protegemos la información

La protección de los datos es un aspecto clave del RGPD. Debemos tener cuidado de almacenar los datos personales con la máxima seguridad, controlando el acceso, cifrando y haciendo las preceptivas copias de seguridad.

Garantizar todo con una Política de Privacidad

En todas las comunicaciones debemos añadir un enlace a la Política de Privacidad. Y a la hora de recoger el consentimiento, debemos disponer de una casilla que el usuario debe marcar conforme ha leído y acepta la Política de Privacidad. Esta Política debe explicar, al menos, quién es el responsable del tratamiento, la finalidad, la base de legitimación, la conservación y comunicación de los datos, los derechos que asisten a los usuarios y forma de ejercerlos.

Primera sanción de la AEPD por mal uso de cookies a Vueling

14 de octubre de 2019 por Ricard Castellet

Primera sanción de la AEPD por no cumplir la normativa respecto a la utilización de cookies en su página web a la compañía Vueling .

Según el usuario denunciante, "la Web de la compañía no permite utilizar las cookies estrictamente necesarias y además huelga una acción afirmativa y positiva que no se pueda malinterpretar el consentimiento y lo asumen simplemente al visitar su página web".

Una vez realizadas las oportunas comprobaciones, según la Agencia, la empresa no cumple con las condiciones que impone la normativa en vigor. En los fundamentos de derecho dice que "si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies".

Además, no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias.

Los hechos expuestos, prosigue la Agencia, podrían suponer por parte de la empresa reclamada, la comisión de la infracción del artículo 22.2 de la LSSI¹, según el cual: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal".

Esta Infracción estas tipificada como leve en el artículo 38.4 g), de la citada Ley, que considera como tal: “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”, pudiendo ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39 de la citada LSSI.

Finalmente, la Agencia, tras las evidencias obtenidas en la fase de investigaciones previas, considera que procede graduar la sanción a imponer en la cuantía de 30.000€. Como sea que ha habido reconocimiento de la responsabilidad por parte de la empresa, la sanción se ha reducido hasta los 18.000€.

Leer la Resolución completa aquí.

¹ LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

¡No mires mi basura!

12 de septiembre de 20195 de septiembre de 2019 por Ricard Castellet

Reconocimiento facial vs. privacidad

A estas alturas, no vamos a discutir la necesidad de reciclar. La cuestión medioambiental está fuera de toda duda. Cada día generamos millones de toneladas de residuos, incluyendo plásticos o latas de degradación muy lenta. Y toda acción, pública o privada, encaminada a mejorar la gestión de residuos es bienvenida. Bueno, toda quizá no.

China, uno de los países más avanzados en reconocimiento facial (y menos respetuoso con la privacidad), ha puesto en marcha un programa piloto consistente en instalar cámaras de reconocimiento facial en los contenedores de basura. Las tapas de los contenedores se abren automáticamente cuando un dispositivo reconoce la cara de una persona que previamente se había registrado en la comunidad. Estas son las nuevas reglas para poder tirar la basura en China.

En Barcelona, con problemas similares a todas las grandes ciudades, están buscando soluciones más imaginativas y, al menos por ahora, menos intrusivas.

El problema reside, como siempre, en la privacidad. Que sea necesario que un dispositivo acceda a un almacenamiento para cotejar mi cara para una acción tan prosaica como tirar la basura me impresiona. Hemos visto ejemplos de recnocimiento facial en aeropuertos o como medio de pago, el conocido "smile-to-pay". Al ritmo que vamos, en pocos años al salir de casa se nos reconocerá de forma inmediata porque el reconocimiento facial substituirá cualquier otro elemento de identificación (llaves, carnets, móvil, etc.). Vamos a funcionar, dicho coloquialmente, "por la cara".

Y, como es natural, todas estas ventajas tecnológicas chocan frontalmente con nuestra privacidad. Y en la UE, incumplen con el Reglamento Europeo de Protección de Datos. Según ha publicado recientemente el Comité Europeo de Protección de Datos, la Agencia de Protección de Datos sueca ha multado con 20.000 euros a un municipio del país, responsable de un colegio, por utilizar tecnología de reconocimiento facial para controlar la asistencia de sus alumnos, incluso habiendo conseguido el consentimiento de los padres de estos.

Aunque el colegio había obtenido el consentimiento de los padres, la autoridad de control sueca consideró que la base de legitmación no era válida dado que habia un claro desequilibrio entre el interesado y el responsable del tratamiento.

Imaginemos, ahora, el desquilibrio entre la posición del responsable y la del interesado cuando este es obligado (porque obviamente tiene que tirar la basura en algún sitio) a someterse a la tecnología de reconocimiento facial para hacerlo.

El debate,como siempre, entre tecnología y privacidad. La legislación no puede entorpecer el desarrollo tecnológico porque, probablemente, nos jugamos mucho en términos económicos, medioambientales y sociales. En consecuencia, los juristas hemos de ofrecer soluciones jurídicas que, sin perjudicar el avance tecnológico, permita mantener un equilibrio razonable con nuestros derechos, en especial, con nuestra privacidad.

Image by TIm S from Pixabay

Inteligencia Artificial vs Abogado Convencional

27 de mayo de 201927 de mayo de 2019 por Ricard Castellet

LawGeex, empresa pionera en inteligencia artificial, ha llevado a cabo una nueva competición de “hombre (abogado) contra máquina”, enfrentando sus algoritmos de PNL (Programación NeuroLinguística) a un abogado convencional. Esta es una segunda ronda. La primera fue Inteligencia Artificial (AI) contra abogados que se saldó con una victoria aplastante a favor de la primera. La segunda ha sido IA+abogado contra abogado solo. Victoria de la primera, pero es una situación más realista y cotidiana.

El informe analizó una amplia gama de áreas de inteligencia artificial y automatización, pero incluyó la ley como parte del segmento. Puedes ver la versión corta del desafío de LawGeex aquí.

La competición se centró en la revisión de dos NDA (Non-Disclosure Agreement), es decir, contratos de confidencialidad. El primero de cuatro páginas y el segundo, de dos.

El abogado humano, con mucha experiencia, es cofundador de una plataforma, DealWIP, que ayuda a los abogados a cerrar transacciones más rápidamente,

Los resultados:

"LawGeex superó al abogado humano. Tunji Williams, graduado de la Escuela de Derecho Top 10 de la Universidad de Virginia, necesitó más de una hora para revisar los dos documentos que hizo con 85% y 83% de precisión, respectivamente. LawGeex, operado por el CEO de LawGeex, Noory Bechor, dedicó solo 18 minutos a la revisión y logró el 95% de precisión en ambos contratos ".

Aunque fue superior gracias a su algoritmo de IA, Bechor agregó que los abogados van a ser más necesarios que nunca: "Necesitamos abogados absolutamente. Definir la política, servir como punto de escalamiento, manejar la negociación y manejar categorías de contrato más complejas. Estos son y deben ser el papel de los abogados". “Las nuevas generaciones de abogados son mucho más expertos en tecnología. Los que realmente puedan aprovechar la tecnología son los que lograrán prosperar.”

Cuando hablamos de transformación digital es importante entender varios conceptos: primero, la tecnología ha llegado para quedarse (y no ha hecho más que empezar); segundo, la tecnología será cada día más potente y crecerá en importancia en nuestras vidas profesionales y personales; tercero, los algoritmos no son nuestros enemigos: nuestro adversario es el abogado (o cualquier profesional) que sepa utilizarlos mejor que nosotros (la máquina no sustituirá al abogado, pero los abogados que sepan utilizar máquinas sustituirán a los que no sepan – Enrique Dans). Y mientras nosotros invertimos una hora para revisar dos documentos, nuestro competidor invierte 18 minutos en la revisión y 42 minutos en hacer el trabajo de gran valor añadido para el que ha sido contratado: cerrar mejores tratos y aumentar el negocio. ¿Todavía consultas la Aranzadi en papel? Pues eso.

Esta es la segunda vez que LawGeex ejecuta un desafío de 'hombre contra máquina'. Esta vez fue obviamente más divertido que un estudio científico serio. Pero, un desafío anterior que sostuvieron fue mucho más amplio y detallado. Se puede ver aquí el resultado.

Primeras sanciones con la nueva normativa de Protección de Datos

25 de mayo de 2019 por Ricard Castellet

A finales de abril de este año, se han conocido las primeras resoluciones sancionadoras emitidas por la Agencia Española de Protección de Datos (AEPD) en las que se aplica la nueva normativa de protección de datos. Las sanciones impuestas son multas o apercibimientos.

Los principales actos sancionados con multa han sido por las siguientes causas:

Por enviar a una persona al fichero de morosidad:

Infringiendo el principio de exactitud de los datos 5.000 €- (a Vodafone)
Vulnerando el consentimiento 28.000 €-
Vulnerando el principio de calidad en relación con los ficheros de morosidad 24.000 €-.
Por incumplir los requisitos para enviar una persona al fichero de morosidad 2.500€-

Por recibir más de 200 SMS a pesar de que había ejercitado del derecho de cancelación del servicio

Por falta de diligencia en el tratamiento de datos al no ejercer el derecho de cancelación de un servicio 45.000 €-. (a Vodafone)

Vodafone es una de las empresas que más sanciones sufre en materia de protección de datos

Las sanciones con multa tienen una reducción del 20% por reconocimiento de responsabilidad y de otro 20% por pago voluntario.

Los principales actos sancionados con apercibimiento -sin sanción económica- han sido por las siguientes causas:

Videovigilancia

Por grabar en la vía pública y en algún caso por no informar de ello. Se han sancionado con apercibimientos a bares, tabernas y particulares.

Envío de correo electrónico sin copia oculta

Por envíos a direcciones de correo electrónico sin ocultar las direcciones de los destinatarios por parte de pequeñas empresas. Ninguna de ellas había sido comunicada como brecha de seguridad.

Brechas de seguridad

Por utilización de terminales de teléfono expuestos a disposición de potenciales clientes desde los que se podía acceder a datos personales de empleados y clientes por parte de 2 tiendas de teléfonos móviles
Por tener en la basura documentos con datos personales de alumnos por parte de una cooperativa que gestiona un centro de enseñanza. La policía local vio como las trabajadoras de la limpieza tiraban a la basura los documentos y denunció al colegio ante la AEPD. La Junta Directiva tuvo que ser destituida por este motivo.

Imágenes de menores

Por tomar fotografías a un menor de 5 años sin consentimiento de quien ostenta la patria potestad por parte de una feria de atracciones.
Por realizar fotos de menores, sin consentimiento, para comercializar unos calendarios denunciado por parte del AMPA. Las familias habían dado el consentimiento al colegio, pero no al AMPA. El padre de uno de los menores interpuso reclamación ante la AEPD.

Publicación de datos en la web

Un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa
Publicación en la web de una asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales

En vista de estas actuaciones, para las sanciones con apercibimiento parece ser suficiente con que se acredite la toma de medidas organizativas y/o técnicas o bien se informe de la intención de no volver a incurrir en la acción sancionada.

Estas han sido las primeras sanciones que se han dado a conocer. Se prevé que, a partir de septiembre, la acción sancionadora de la AEPD se intensifique.

Ricard Castellet