Ricard Castellet

El Escándalo Worldcoin: ¿Una mirada al abismo?

por

La reciente acción de la Agencia Española de Protección de Datos (AEPD) contra Worldcoin, suspendiendo cautelarmente la recogida y tratamiento de datos personales en España debido a diversas reclamaciones, ha despertado un intenso debate sobre la ética y legalidad del tratamiento de datos biométricos en España y más allá. La controversia gira en torno a la recolección y el procesamiento de datos personales, en particular, escaneos del iris, para generar un identificador único, conocido como World ID, y para la distribución de tokens de criptomonedas como una forma de pago por dichos datos.

Cuestiones Éticas y Legales en Torno a la Biometría

La utilización de datos biométricos para identificar individuos comporta riesgos significativos de privacidad y seguridad. La naturaleza irrepetible y única de estos datos, como las impresiones del iris, hace que su uso indebido tenga consecuencias potencialmente severas. A pesar de que Worldcoin alega obtener un "consentimiento explícito" para la recolección de esta información, la naturaleza de este consentimiento y si cumple con las estrictas definiciones del Reglamento General de Protección de Datos (RGPD) de la UE es discutible.

La Controversia del Consentimiento: ¿Es Verdaderamente Libre?

Una de las cuestiones más polémicas es si el consentimiento obtenido por Worldcoin puede considerarse "dado libremente". Según el RGPD, el consentimiento debe ser una manifestación libre, específica, informada e inequívoca. Sin embargo, el modelo de Worldcoin, que condiciona la recepción de tokens digitales y la creación de una identidad única a la sumisión de datos biométricos, plantea la pregunta de si los usuarios realmente tienen una elección libre al participar en este intercambio.

Respuesta Global y Acciones Regulatorias

La respuesta de la AEPD no es un caso aislado; Worldcoin ha atraído el escrutinio de reguladores de protección de datos en toda Europa. En Francia y Alemania, las autoridades de protección de datos han iniciado investigaciones sobre la transparencia y la seguridad en el procesamiento de datos de Worldcoin. Estas investigaciones buscan clarificar aspectos como la suficiencia de la información proporcionada a los sujetos de datos, si se garantizan los derechos de los sujetos de datos y si se ha realizado una evaluación de impacto de protección de datos adecuada.

La Perspectiva de Worldcoin y Desafíos Futuros

Worldcoin ha defendido su proyecto como una solución innovadora para verificar la identidad en la era digital, proclamando que su World ID ofrece acceso, privacidad y protección en línea. Sin embargo, la empresa enfrenta desafíos considerables en términos de cumplimiento regulatorio y aceptación pública, especialmente en un contexto europeo donde la protección de datos personales es una prioridad.

Hacia una Nueva Era de Privacidad y Autenticación

El caso de Worldcoin subraya el delicado equilibrio entre innovación tecnológica y protección de la privacidad. A medida que avanzamos hacia un futuro digital más integrado, será crucial que empresas y reguladores trabajen conjuntamente para garantizar que los avances tecnológicos no se hagan a expensas de los derechos y libertades fundamentales de los individuos. La protección de datos personales, especialmente cuando se trata de información biométrica, debe manejarse con el mayor cuidado y respeto por la autonomía individual y la dignidad humana.

Esta situación de Worldcoin sirve como un recordatorio oportuno y una lección para otras empresas en el ámbito digital. La conformidad con el RGPD y la ética en el tratamiento de datos no solo son obligaciones legales sino también imperativos morales que sustentan la confianza del público y la legitimidad en la era de la información.

Desafíos y Responsabilidades en la Era de la Identidad Digital

La controversia en torno a Worldcoin y su tecnología de escaneo de iris destaca la compleja intersección de la tecnología, la privacidad y la ética en el moderno panorama de la protección de datos. Mientras que la promesa de una identidad digital única presenta oportunidades para mejorar la seguridad y la autenticidad en línea, también plantea preguntas fundamentales sobre el control personal y la seguridad de los datos.

Impacto Social y Derechos Humanos

La recolección de datos biométricos por parte de empresas como Worldcoin no es solo un asunto de privacidad individual; tiene implicaciones más amplias para los derechos humanos y la inclusión social. La identidad digital, mientras ofrece el potencial para un acceso más inclusivo a los servicios, también puede excluir a aquellos que, por diversas razones, no pueden o no quieren participar en estos sistemas. Además, la posibilidad de vigilancia y discriminación aumenta cuando los datos biométricos caen en manos equivocadas.

El Escrutinio Regulatorio y la Confianza Pública

El caso de Worldcoin resalta la importancia crítica del escrutinio regulatorio en la era digital. Las autoridades de protección de datos, como la AEPD y la DPA de Baviera, juegan un papel esencial en la supervisión de las empresas que manejan datos sensibles, asegurando que se adhieran a las normativas establecidas como el RGPD. La transparencia y la rendición de cuentas son fundamentales para mantener la confianza de los usuarios sobre cómo se manejan sus datos personales. La eventual discrepancia en las acciones entre diferentes DPAs, como se observa entre España y Baviera, también señala la necesidad de una mayor coherencia y colaboración entre las autoridades para proteger efectivamente los derechos de los ciudadanos en un mercado digital globalizado.

Tecnología y Consentimiento informado

El debate en torno a Worldcoin subraya la necesidad crítica de consentimiento informado en la recopilación de datos personales. El consentimiento, según el RGPD, debe ser específico, informado y revocable. Sin embargo, el modelo de "consentimiento" utilizado por Worldcoin — donde los participantes intercambian datos biométricos por criptomonedas — plantea cuestiones sobre la voluntariedad y la comprensión de los usuarios respecto a lo que están acordando. La compensación por datos personales introduce un dilema ético y legal, especialmente cuando los usuarios pueden no entender completamente las implicaciones a largo plazo de su consentimiento o la permanencia de los datos biométricos en los sistemas digitales.

Futuro de la Identidad Digital y el Rol de la Tecnología Blockchain

El uso de la tecnología blockchain por Worldcoin añade una capa adicional de complejidad. Aunque ofrece beneficios potenciales en términos de seguridad y transparencia, la incorporación de datos biométricos en la blockchain plantea preocupaciones irrevocables debido a la naturaleza inmutable de esta tecnología. Una vez que los datos personales se registran en la blockchain, no se pueden modificar ni eliminar, lo que plantea riesgos significativos si se viola la privacidad de los datos.

Hacia un Futuro Ético y Seguro

Es crucial que las innovaciones tecnológicas como Worldcoin no solo se desarrollen con consideraciones técnicas y de mercado, sino también con un fuerte compromiso con los principios éticos y legales. La creación de estándares globales para la identidad digital y la gestión de datos biométricos, junto con un diálogo abierto entre tecnólogos, reguladores, académicos y el público, será vital para asegurar que las innovaciones en identidad digital beneficien a la sociedad en su conjunto, protegiendo al mismo tiempo los derechos individuales y la integridad de los datos personales.

 

La narrativa alrededor de Worldcoin ilustra claramente el camino adelante: un balance entre innovación y ética, entre progreso tecnológico y protección de la privacidad. La adopción de tecnologías emergentes requiere una consideración cuidadosa de las implicaciones legales y sociales, garantizando que la marcha hacia el futuro digital sea segura, justa y respetuosa de los derechos y dignidades de todas las personas.

Como decíamos al principio, esto puede ser una mirada al abismo, sobre todo, si se combina con otras tecnologías como blockchain y, por supuesto, con la omnipresente  inteligencia artificial. La combinación, da miedo.

Hay que pensar seriamente si queremos vender nuestro iris por un token, sabiendo que la decisión es irreversible. Así que pensémoslo bien antes de decidir.

Y, como siempre, ¡cuidaos!

Cookies: lo que toda PYME debe saber para no quedarse atrás

por

En un mundo digital en constante evolución, la gestión de cookies se ha convertido en un reto importante para todas las empresas, en especial para las PYMES que han de afrontar una regulación abrumadora. Con la implementación de nuevas regulaciones en el ámbito de la protección de datos, es imperativo comprender y adaptarse a estas normativas para garantizar un uso adecuado de las cookies en sus sitios web y plataformas online.

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente guías actualizadas, como la "Guía de Cookies" y la "Guía sobre el Uso de Cookies para Herramientas de Medición de Audiencia", que sirven como referencia esencial..

Aquí queremos proporcionar una visión clara y accesible sobre la nueva regulación de cookies, destacando cómo las empresas pueden cumplir con la normativa, sin perder de vista la importancia de la experiencia del usuario, y seguir generando información valiosa para la empresa.

Conceptos básicos sobre cookies

Las cookies, pequeños archivos de texto almacenados en los dispositivos de los usuarios al visitar sitios web, son fundamentales en el entorno digital actual. Su propósito varía desde funciones básicas, como recordar las preferencias de idioma de un usuario, hasta roles más complejos en la publicidad y análisis de datos. Veamos los principales tipos que existen:

Cookies Técnicas: Son aquellas necesarias para el funcionamiento del sitio web. Incluyen cookies que permiten a los usuarios navegar a través de la página y utilizar sus diferentes opciones o servicios.

Cookies de Personalización: Permiten al sitio recordar información que cambia la forma en que se comporta o se muestra el sitio, como el idioma preferido o la región en la que se encuentra el usuario.

Cookies de Análisis: Recolectan información sobre el uso que se hace del sitio web. Se utilizan para medir la actividad del sitio y elaborar perfiles de navegación de los usuarios, con el fin de introducir mejoras.

Cookies Publicitarias: Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Es importante entender que el uso de cookies no solo facilita una experiencia de usuario más personalizada y eficiente, sino que también implica responsabilidades significativas en términos de protección de datos. La nueva regulación de la AEPD pone un énfasis especial en la transparencia, asegurando que los usuarios sean plenamente conscientes de qué cookies están siendo utilizadas y con qué fin.

Nueva Regulación de Cookies y su Impacto en las empresas

La nueva regulación de cookies, impulsada por la Agencia Española de Protección de Datos (AEPD), trae consigo una serie de cambios significativos que afectan directamente a las empresas. Estos cambios están centrados en garantizar una mayor transparencia y control por parte de los usuarios sobre sus datos personales. Veamos cómo impacta esto en las empresas.

Consentimiento Explícito

La normativa exige que las empresas obtengan un consentimiento claro y explícito de los usuarios antes de instalar cookies en sus dispositivos, excepto en el caso de cookies estrictamente necesarias. Esto significa que las EMPRESAS deben implementar sistemas que permitan a los usuarios aceptar o rechazar las cookies de manera sencilla y comprensible, detallando la finalidad de cada una.

Clasificación y Explicación de Cookies

Es esencial que las empresas clasifiquen correctamente las cookies que utilizan y proporcionen información detallada sobre su propósito. Esto incluye diferenciar entre cookies propias y de terceros, técnicas, de personalización, de análisis y publicitarias. Una política de cookies clara y accesible es fundamental.

Registro del Consentimiento

Las empresas deben ser capaces de demostrar que han obtenido el consentimiento del usuario. Esto implica mantener un registro de consentimientos que pueda ser verificado en caso de inspección por parte de las autoridades reguladoras.

Impacto en la Operativa de la Empresa

Las empresas deben revisar y, en muchos casos, modificar sus prácticas actuales en relación con el uso de cookies. Esto puede implicar ajustes técnicos en sus sitios web, así como la formación del personal sobre las nuevas normativas.

La nueva regulación no solo busca proteger los datos de los usuarios, sino también fomentar una mayor confianza en los servicios digitales, algo esencial para las empresas que buscan crecer y consolidarse en el mercado digital. La adaptación a estas regulaciones no es simplemente una cuestión legal, sino también una oportunidad para mejorar la relación con los clientes y la reputación de la empresa.

Finalidad de las Cookies Publicitarias

Las cookies publicitarias juegan un papel crucial en el ecosistema digital, especialmente para las empresas que buscan optimizar sus estrategias de marketing y publicidad en línea. Sin embargo, con la nueva regulación, es esencial comprender su finalidad y cómo utilizarlas de manera que respete tanto la normativa como los derechos de los usuarios.

¿Qué son las Cookies Publicitarias?

Las cookies publicitarias son utilizadas para recopilar información sobre los hábitos de navegación de los usuarios. Esta información permite a las empresas y anunciantes mostrar publicidad personalizada, basada en el perfil del usuario. Estas cookies pueden rastrear a los usuarios a través de diferentes sitios web, creando un perfil detallado de sus intereses y comportamientos en línea.

Importancia para las empresas

Para las empresas, las cookies publicitarias pueden ser una herramienta valiosa para dirigir las campañas de marketing de manera más efectiva. Permiten segmentar a la audiencia, optimizar el gasto publicitario y mejorar la relevancia de los anuncios para los usuarios. Sin embargo, este tipo de cookies requiere un consentimiento explícito por parte del usuario, debido a su naturaleza intrusiva.

Cumplimiento de la Normativa

Las empresas deben asegurarse de que el uso de cookies publicitarias esté en plena conformidad con las directrices de la AEPD. Esto incluye obtener un consentimiento claro y explícito, proporcionar información detallada sobre qué datos se recogen y cómo se utilizan, y ofrecer a los usuarios la posibilidad de retirar su consentimiento en cualquier momento.

Consejos para un Uso Responsable

  • Ser transparentes sobre el uso de cookies publicitarias y su finalidad.
  • Ofrecer opciones claras para aceptar o rechazar estas cookies.
  • Utilizar alternativas menos intrusivas cuando sea posible.

El uso responsable y transparente de las cookies publicitarias no solo asegura el cumplimiento de la normativa, sino que también contribuye a construir una relación de confianza con los usuarios, elemento clave para el éxito a largo plazo de cualquier empresa.

Cobro por Rechazar Cookies en las Páginas Web

Uno de los aspectos más novedosos y debatidos de la nueva regulación de cookies es la disposición que permite el cobro por rechazar cookies en las páginas web.

En pocos días se han hecho famosos los conocidos como “muros de pago” en periódicos y otras webs con contenidos de suscripción. La idea que subyace es que, si no puedo monetizar tus datos, tengo que cobrar para seguir manteniendo el medio en funcionamiento. Ejemplo claro de lo que hemos dicho muchas veces: nada es gratis y si no pagas con dinero, pagas con datos. Esta máxima se expone ahora con toda crudeza.

Como las condiciones de la última Guía eran muy restrictivas porque se exigía el consentimiento para aceptar las cookies (y, digámoslo todo, la importantísima caída de la aceptación de cookies), la AEPD ha decidido abrir un resquicio legal para poder eximir del consentimiento en determinadas circunstancias.

Esta oportunidad para las empresas aparece recogida en la Guía sobre el uso de las cookies, con el siguiente literal: “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies”.

La finalidad de estas cookies debe estar estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación. Este tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizadas para producir datos estadísticos anónimos únicamente.

Y el uso está acotado por garantías que impone la propia AEPD y que vienen detalladas en la Guía de Uso de cookies para herramientas de medición de audiencia.

Estrategias de Monetización y Consentimiento

Las empresas deben buscar estrategias de monetización que no infrinjan los derechos de los usuarios. Esto incluye ser transparentes sobre cualquier tipo de beneficio o servicio adicional ofrecido a cambio del consentimiento para usar cookies. Las tácticas como los muros de pago o los beneficios exclusivos para usuarios que aceptan cookies deben ser manejados con cuidado para asegurar que no se perciban como una penalización al rechazo de cookies.

Información Clara y Accesible

Es fundamental que las empresas proporcionen información clara y accesible sobre cómo el consentimiento (o su falta) para el uso de cookies afecta la experiencia del usuario en el sitio. Esta comunicación debe ser directa, evitando términos técnicos complejos, para que todos los usuarios, independientemente de su nivel de conocimiento técnico, puedan entender las implicaciones de su elección.

Implementación Práctica

Para las empresas, la implementación de estas directrices significa equilibrar sus necesidades de negocio con el respeto a la privacidad del usuario. Es aconsejable revisar las prácticas actuales de consentimiento de cookies y adaptarlas para cumplir con la normativa, asegurando al mismo tiempo que la estrategia de monetización del sitio web sigue siendo viable y efectiva.

El enfoque en la transparencia y el respeto a la elección del usuario no solo cumple con la regulación, sino que también puede fortalecer la confianza y la lealtad del cliente hacia la marca.

Alternativas al Uso de Cookies

Mientras las cookies siguen siendo una herramienta común en la gestión de sitios web, las nuevas regulaciones y la creciente preocupación por la privacidad de los datos han llevado a muchas empresas a buscar alternativas. Herramientas como Matomo o Fathom emergen como opciones viables, ofreciendo soluciones de análisis web que respetan la privacidad del usuario.

Ventajas de Estas Herramientas

Cumplimiento de la Normativa: Al no depender de cookies que rastrean datos personales, estas herramientas ayudan a las PYMES a cumplir con las regulaciones de protección de datos.

Respeto a la Privacidad del Usuario: Ofrecen una alternativa más respetuosa con la privacidad, lo cual es valorado por muchos usuarios conscientes de sus datos.

Datos de Calidad: Aunque no recopilan datos a nivel individual, proporcionan información valiosa sobre el comportamiento general en el sitio web, lo cual es suficiente para muchas estrategias de marketing digital.

El uso de estas herramientas alternativas no solo muestra un compromiso con la privacidad y el cumplimiento normativo, sino que también puede mejorar la percepción de la marca entre los usuarios preocupados por la seguridad de sus datos.

Conclusiones

En resumen, la nueva regulación de cookies representa un desafío importante, pero también una oportunidad valiosa para las PYMES. Adaptarse a estas normativas no solo es una cuestión de cumplimiento legal, sino también un paso hacia la construcción de una relación más transparente y confiable con los clientes. Es esencial que las PYMES comprendan no solo las obligaciones que impone la normativa, sino también el espíritu que la guía: el respeto por la privacidad del usuario y la transparencia en el tratamiento de datos.

Como siempre, seamos respetuoso con la normativa y ¡cuidaos!

Día Europeo de la Protección de Datos 2024

por

El 28 de gener de cada any, se celebra el Dia Europeu de la Protecció de Dades. En una època marcada per la transformació digital, aquest dia no és només una commemoració; és un recordatori vital de la importància de salvaguardar la informació personal i empresarial. Per als directius de les petites i mitjanes empreses (PIMES) , aquesta data simbolitza una oportunitat per reflexionar i actuar sobre com gestionen i protegeixen les dades en les seves organitzacions.

La protecció de dades ja no és només una qüestió de compliment legal, sinó un aspecte crític que influeix en la confiança i la reputació d'una empresa. En un món cada vegada més connectat i digitalitzat, els directius de les PIMES s'enfronten a desafiaments únics. No només s'han d'assegurar que les seves empreses compleixin amb les regulacions vigents, sinó també preparar-se per als canvis futurs en el panorama de la privacitat de dades. El Dia Europeu de la Protecció de Dades 2024 ens ofereix una excel·lent oportunitat per explorar aquests temes i entendre millor com poden impactar a les PIMES .

La Creixent Importància de la Protecció de Dades

Expansió Digital i Vulnerabilitats de Dades en el Context Actual

L'era digital ha portat amb si un creixement exponencial en la quantitat de dades generades, recopilades i processadores. Aquest fenomen, impulsat per l' avenç tecnològic i l' adopció massiva d' Internet, ha transformat radicalment la forma en què les empreses operen. No obstant això, aquest avanç també ha creat noves vulnerabilitats. Les bretxes de seguretat, els ciberatacs i l'ús indegut de dades personals són amenaces cada vegada més comunes, que poden tenir conseqüències devastadores tant per a individus com per a empreses.

Per a les PIMES, que sovint tenen recursos limitats per a la gestió de dades i la seguretat informàtica, aquest entorn representa un desafiament particular. La protecció de dades ja no és només una qüestió de compliment legal, sinó una necessitat crítica per salvaguardar la integritat empresarial i la confiança dels clients.

Reptes de la Protecció de Dades per al 2024

Nous Desafiaments a l'Era de la Intel·ligència Artificial

A mesura que avancem cap al 2024, el panorama de la protecció de dades enfronta reptes cada vegada més complexos, particularment amb la proliferació de la Intel·ligència Artificial (IA). Aquestes tecnologies, tot i que ofereixen innombrables beneficis, també presenten riscos significatius en termes de privacitat i seguretat de dades. La IA, per exemple, pot processar i analitzar grans volums de dades personals, cosa que planteja preguntes sobre el consentiment, la transparència i el control sobre aquestes dades.

Per a les PIMES, això significa navegar per un terreny encara més complicat. S' hauran de mantenir al dia amb les últimes tecnologies i les seves implicacions en la privacitat de dades, alhora que s' asseguren de complir amb les regulacions existents i emergents. L'adaptació a aquests canvis no només és crucial per evitar sancions legals, sinó també per protegir el seu actiu més valuós: la confiança dels seus clients.

Impacte Específic en les PIMES

Les PIMES, en particular, enfronten desafiaments únics en aquest context. Moltes d' aquestes empreses estan en el procés de digitalització i poden no tenir els recursos o l' experiència necessaris per abordar eficaçment els riscos de seguretat de dades. A més, el dinàmic panorama legal europeu i espanyol exigeix una constant actualització i adaptació.

Les PIMES han de prioritzar l' educació i capacitació en protecció de dades, així com la inversió en solucions de seguretat i privacitat adequades. A més, és fonamental que aquestes empreses comprenguin no només les seves obligacions legals, sinó també el valor estratègic d' una gestió de dades eficaç i segura en la construcció de relacions sòlides i duradores amb els clients.

Conclusió

A les portes del Dia Europeu de la Protecció de Dades 2024, és crucial que les PIMES reconeguin la importància d'estar al dia amb les tendències i desafiaments en la protecció de dades. El compliment no és només una qüestió de legalitat, sinó un factor clau per a la confiança del client i la reputació empresarial. En abraçar aquests desafiaments i preparar-se per als canvis legislatius, les PIMES poden no només protegir la seva informació i la dels seus clients, sinó també posicionar-se com a empreses responsables i a l'avantguarda en l'era digital.

Instem els directius de PIMES a prendre aquest dia com un moment de reflexió i acció. La inversió en protecció de dades és una inversió en el futur de la seva empresa i en el de tots.

I, sobretot, Cuideu-vos!

El diablo está en el detalle

por

En un mundo donde las promociones y sorteos son moneda corriente, el dicho anglosajón "El diablo está en el detalle" cobra un significado especial.

Esta historia gira en torno a un consumidor cuya ilusión por ganar una bicicleta eléctrica se convierte en una montaña rusa emocional. Es un relato que destaca la importancia que puede tener la letra pequeña o la falta de ella, la reacción empresarial ante errores y los derechos de los consumidores. Acompáñanos en este viaje de expectativas, frustraciones y soluciones, donde un simple correo puede tener el poder de cambiarlo todo.

Los hechos

Era un día cualquiera cuando nuestro protagonista, entusiasmado por la idea de una movilidad más sostenible, decidió comprar un producto participante en una promoción. El atractivo principal era el producto en sí pero también la oportunidad de entrar en el sorteo de una bicicleta eléctrica. Con los ojos brillantes de ilusión y un ticket de compra de tan solo 4,45€ en mano, se imaginaba ya recorriendo las calles de la ciudad en su nueva bicicleta.

Sin embargo, al abrir el paquete, su entusiasmo se desvaneció como un espejismo. La promoción había caducado. Y este detalle no se advertía en el envoltorio. Aquel pequeño detalle, no indicar –por error– la fecha fin de la promoción, transformó su mínima inversión en un desencadenante de frustración desproporcionada. Lo que parecía una simple compra se convirtió en un símbolo de esperanzas truncadas y promesas no cumplidas. La decepción era palpable, y con ella crecía un sentimiento de agravio. Este consumidor, con su ticket de escaso valor en mano, estaba a punto de embarcarse en una odisea de derechos y reclamaciones, subrayando cómo incluso la compra más pequeña puede desatar una crisis inesperada.

Primera respuesta de la empresa, rozando la catástrofe

La respuesta inicial de la empresa ante la queja de nuestro consumidor fue un claro ejemplo de cómo no manejar una situación delicada. En lugar de ofrecer una solución concreta o mostrar empatía genuina, la empresa recurrió a un repertorio de frases hechas y palabras vacías. "Valoramos a nuestros clientes", "Lamentamos las molestias ocasionadas", eran frases que resonaban sin sustancia. Esta aproximación genérica y despersonalizada solo sirvió para aumentar la frustración del consumidor, quien se sentía aún más desvalorizado e ignorado.

La situación estaba a punto de desembocar en una crisis de relaciones públicas. Lo que comenzó como una pequeña decepción por un ticket de 4,45€ estaba escalando a un descontento palpable, poniendo de manifiesto la importancia de una comunicación cuidadosa y considerada en el mundo empresarial.

Segunda respuesta de la empresa y la solución

Tras el descontento inicial, la empresa tomó un rumbo diferente en su segunda respuesta. Esta vez, reconocieron su error y adoptaron un enfoque más humano y comprensivo. Se comprometieron a devolver los 4,45€ del ticket y, en un gesto de buena voluntad, ofrecieron enviar un pequeño obsequio al consumidor como disculpa por las molestias causadas. Este cambio de actitud marcó un punto de inflexión en la experiencia del cliente.

El reconocimiento del error y la oferta de compensación transformaron la situación. Lo que había comenzado como una historia de frustración y decepción empezó a tomar un matiz de resolución y satisfacción. Este gesto, aunque pequeño, demostró que la empresa estaba dispuesta a escuchar y valorar a sus clientes, restableciendo así la confianza perdida. La reacción del consumidor fue positiva; aunque aún decepcionado por no participar en el sorteo, apreciaba el esfuerzo de la empresa para enmendar su error.

Derechos de los consumidores bajo la Ley española

Este incidente resalta la crucial importancia del cumplimiento de la ley en las prácticas comerciales, más allá de las estrategias de marketing. Bajo la legislación española, los consumidores tienen derechos que las empresas deben respetar. Esto incluye la veracidad en la publicidad y la obligación de informar claramente sobre las condiciones de las promociones. El caso de nuestro consumidor y la bicicleta eléctrica no es solo una cuestión de decepción; es un recordatorio de que las leyes están diseñadas para proteger al consumidor de prácticas engañosas o confusas (aunque sea por error, como en este caso), asegurando así una relación equitativa y transparente entre consumidores y empresas.

El poder de un buen correo en la resolución de crisis

La crisis surgida por la promoción caducada subraya una verdad universal: las personas detestan sentirse engañadas, incluso si es por error, y exigen que sus quejas sean atendidas adecuadamente. En este caso, el poder de un correo bien redactado fue crucial. Una comunicación directa, que reconoce el error y ofrece una solución concreta, puede transformar una situación adversa en una oportunidad para fortalecer la relación con el cliente. Este enfoque demuestra respeto y comprensión hacia el consumidor, elementos esenciales para restaurar la confianza y prevenir daños mayores a la reputación de la empresa. Y así fue en este caso.

Conclusión

La odisea de nuestro consumidor culmina con una nota de reconciliación y apertura hacia el futuro. A pesar de la inicial decepción y frustración, la respuesta final de la empresa logró suavizar las tensiones y abrir un camino hacia la restauración de la confianza. El consumidor, reconociendo el esfuerzo y la transparencia mostrada, no descarta la posibilidad de futuras interacciones con la empresa. Este desenlace resalta una lección valiosa: los errores ocurren, pero la forma en que una empresa los maneja puede convertir un cliente insatisfecho en uno leal. Al final, como suele suceder, el diablo estaba en los detalles, pero también lo estuvo la oportunidad de redención y crecimiento.

Y como siempre, confiad en la resolución de los conflictos por la vía amistosa y ¡cuidaos!

La Liga (LFP) bajo Vigilancia

por

En una era donde la tecnología se entrelaza cada vez más con la vida cotidiana, la privacidad de los datos se ha convertido en un tema de discusión fundamental. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha puesto el foco en La Liga de Fútbol Profesional (LFP) por el uso de sistemas de reconocimiento facial en los estadios. Este aviso no solo resalta los desafíos que enfrentan las grandes organizaciones, sino que también envía un mensaje crucial a las empresas en general sobre la importancia de navegar con cuidado en el complejo mundo de la biometría y la protección de datos.

De hecho, ya nos referimos al tema semanas atrás cuando la AEDP publicó la  Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La publicación supuso un importante cambio de postura de la Agencia respecto al uso de la biometría en el acceso y el control laboral.

 

Reconocimiento Facial y Privacidad

El reconocimiento facial, una forma de biometría, se ha utilizado cada vez más para mejorar la seguridad en lugares públicos, incluyendo estadios deportivos. Aunque estas tecnologías ofrecen beneficios significativos en términos de seguridad, también generan preocupaciones considerables sobre la privacidad y los derechos individuales. La AEPD ha llamado la atención sobre este equilibrio delicado, enfatizando la necesidad de cumplir con regulaciones estrictas, como el RGPD.

 

La Respuesta de La Liga (LFP)

Frente a las advertencias de la AEPD, La Liga ha defendido su uso de sistemas de reconocimiento facial, argumentando que su principal objetivo es garantizar la seguridad en los estadios.

La Liga sostiene que esta tecnología ayuda a identificar a individuos que puedan representar una amenaza, como aquellos con prohibiciones de acceso o implicados en actos violentos previos. Esta justificación se basa en la premisa de que la seguridad colectiva puede requerir medidas más robustas, aunque intrusivas.

Sin embargo, esta posición plantea un importante debate: ¿hasta dónde puede llegar una organización en la implementación de tecnologías de vigilancia bajo la premisa de la seguridad, sin vulnerar los derechos individuales de privacidad?

Y este debate afecta también a todas las empresas y organizaciones.

 

Implicaciones para las empresas

A falta de ver como se resuelve el contencioso entre La Liga y la AEPD, y a la espera de ver si La Liga es capaz de encontrar soporte jurídico para sus pretensiones, las empresas deben ser conscientes de que cualquier tecnología intrusiva, especialmente aquellas que procesan datos biométricos, requiere un análisis exhaustivo en términos de cumplimiento normativo, previo a su aplicación.

Es fundamental que las empresas evalúen no solo los beneficios de seguridad y eficiencia que estas tecnologías pueden ofrecer, sino también el impacto en la confianza y la privacidad de los individuos. Adoptar un enfoque transparente y responsable, alineado con las directrices de la AEPD y el RGPD, es esencial para evitar sanciones y preservar la reputación de la empresa.

 

Conclusión

La advertencia de la AEPD a La Liga por el uso de reconocimiento facial en estadios es un recordatorio oportuno para las empresas sobre la importancia de equilibrar la innovación tecnológica con el respeto a la privacidad y la normativa de protección de datos. Este caso subraya la necesidad de un manejo cuidadoso y ético de tecnologías potencialmente intrusivas, instando a las empresas a considerar no solo las ventajas operativas, sino también las implicaciones legales y sociales de su implementación.

Estamos a las puertas de una nueva edición del Mobile World Congress (MWC) a celebrar en Barcelona. El año pasado hicieron un uso intensivo del reconocimiento facial para la gestión del acceso de los visitantes. Veremos qué solución aplican este año.

Mientras tanto, ¡cuidaos mucho!

¿Fin del uso de la huella dactilar para el acceso al centro de trabajo?

por

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La Guía representa todo un reto para la adopción de sistemas de identificación biométrica, ya que la AEPD ha revisado sus criterios y aclarado los requisitos esenciales para el tratamiento de datos. Y no pone nada fácil.

Según el Reglamento General de Protección de Datos (RGPD), los datos biométricos se consideran una categoría especial de datos cuando se utilizan para identificar de manera única a una persona. La AEPD ha aclarado que estos datos solo se pueden procesar en circunstancias excepcionales, como con el consentimiento explícito de la persona o si es necesario para el cumplimiento de las leyes laborales o los derechos de protección social y hay una base legal para hacerlo.

La Guía indica que las disposiciones legales anteriores que se pensaba que legitimaban estos sistemas biométricos son insuficientes, ya que no mencionan expresamente el procesamiento de datos biométricos ni proporcionan las protecciones de privacidad necesarias para los empleados. Además, el consentimiento de los empleados tampoco se considera una base válida para la legitimación debido al desequilibrio de poder inherente entre empresarios y empleados.

La conclusión es que se convierte en extremadamente difícil, si no imposible, utilizar sistemas de identificación biométrica para estos propósitos en las empresas, sin una regulación específica europea o española o un acuerdo de negociación colectiva que proporcione normas claras y garantías.

Como alternativas a los controles biométricos, las soluciones podrían incluir métodos tradicionales como hojas de firma manuales, tarjetas clave electrónicas, códigos PIN o aplicaciones móviles que permiten registros basados en la ubicación. Estas alternativas se prevén menos invasivas para la privacidad, se alinean con el principio de minimización de datos del RGPD y aún cumplir con los requisitos operacionales del puesto de trabajo.

El impacto para las empresas de los nuevos criterios de la AEPD al reconocer la biometría como falta de legitimación para el tratamiento de datos es significativo. Las empresas deberán reconsiderar el uso de sistemas de control biométrico, ya que la Guía limita fuertemente estas prácticas. Sin una base legal específica, consentimiento explícito (muy complicado de utilizar en la práctica para el desequilibrio entre empresa y trabajador y tener que superar el juicio de idoneidad) o acuerdos colectivos con garantías adecuadas, las empresas no podrán utilizar datos biométricos para controles de presencia o acceso.

Todo ello puede requerir cambios operativos significativos y, como decíamos, la implementación de métodos alternativos de control de presencia que respeten la privacidad y la protección de datos de los empleados.  La Agencia, incluso, recomienda explorar opciones que ni sean tecnológicas como, por ejemplo, la utilización de recursos humanos. Vaya, poner un vigilante en la puerta, como se ha hecho toda la vida. En fin ...

De ahora en adelante, no pongáis el dedo en ningún sitio y ¡cuidaos!

Pasos en la buena dirección

por

La protección de datos es un tema de creciente importancia en la sociedad digital de hoy. Recientemente se han dado varios desarrollos significativos en este campo, al margen de la omnipresente Inteligencia Artificial de la que cada día se generan noticias cada vez más preocupantes. Es decir, pasas en la buena dirección.

Por ejemplo, La Agencia Española de Protección de Datos (AEPD) acaba de publicar una Guía sobre el uso de sistemas biométricos para el control de acceso, estableciendo criterios claros para uso tanto en entornos laborales como no laborales. Este avance destaca la necesidad de equilibrar la seguridad y la privacidad en el uso de tecnologías avanzadas. Recordemos, además, que los datos biométricos son, a criterio del RGPD, de categoría especial de alto riesgo, por lo que debemos tener un cuidado especial en su tratamiento.

Por otro lado, TikTok se ha unido al Canal Prioritario de la AEPD, una medida que subraya el compromiso de la plataforma con la protección de datos de los usuarios. Esta colaboración surge tras la orden de la AEPD de retirar unos 30 contenidos con material sexual y violento en 2023, lo que pone de manifiesto la responsabilidad de las plataformas digitales en el manejo y la moderación del contenido. La empresa ha establecido, incluso, una vía de comunicación para atender con urgencia los requerimientos que le traslade la AEPD en caso de contenidos que pongan en riesgo los derechos y libertades o la salud física o mental de las personas afectadas.

Además, la Unión Europea ha prohibido a Meta (Facebook) mostrar anuncios basados en el comportamiento de los usuarios en plataformas como Instagram y Facebook. Esta decisión es un claro ejemplo de cómo las regulaciones están evolucionando para proteger mejor la privacidad y los datos personales de los usuarios en un entorno digital cada vez más intrusivo. La Comisión de Protección de Datos (DPA) ha señalado que se debe imponer una prohibición del tratamiento de datos personales según el comportamiento de los usuarios, una decisión que tendrá efecto en todo el Espacio Económico Europeo (EEE).

Estos casos reflejan una tendencia global hacia una mayor supervisión y regulación en el ámbito de la protección de datos. Las empresas y las organizaciones son llamadas a adoptar prácticas más transparentes y responsables en el manejo de información personal. Este enfoque no sólo es crucial para salvaguardar la privacidad de los individuos, sino también para mantener la confianza en el ecosistema digital.

En resumen, la protección de datos personales se ha convertido en una prioridad en el mundo digital. Las regulaciones y guías recientes, como las emitidas por la AEPD y la UE, son pasos importantes para garantizar que los avances tecnológicos no comprometan la privacidad y seguridad de los usuarios. Las empresas y plataformas deben adaptarse a estos cambios, priorizando la protección de datos personales en las operaciones y estrategias de negocio. Estas medidas son fundamentales para construir un entorno digital más seguro y fiable para todos.

Así que ya lo sabéis, cuidad vuestra privacidad y ¡cuidaos!

¿Una idea muy tonta? No, directamente estúpida y poco ejemplar

por

Pues sí, tal y como ha reconocido en la revista Rolling Stone, el CEO de HBO confesó haber troleado a los críticos con tuits falsos tras publicarse un informe de la revista. Casey Bloys explicó que durante la pandemia pasó una "cantidad de tiempo poco saludable" en Twitter cuando habló de utilizar un "ejército secreto" para responder a los críticos. Y ya dijo que se le había ocurrido "una idea muy tonta para aplacar su frustración".

En resumen, una conducta, como mínimo, poco ejemplar, justificada con excusas inaceptables. Los hechos ocurrieron entre 2020 y 2021 cuando era presidente de programación y responsable de contenidos de la compañía. Ahora es el máximo responsable.

Hechos como estos ponen de manifiesto la importancia de la formación y de la comunicación para fomentar la cultura de cumplimiento en las organizaciones. Formación y Comunicación son piedras angulares para hacerlo.

Y sí, hablamos de protección de datos, pero también de más cosas. Esta cultura debe llegar a todos los rincones de las empresas, y de la Administración, y a todas las personas que están involucradas en ella. Y debe llevar a todas partes la ética y el cumplimiento en general.

Hacemos un repaso breve a los principales aspectos claves a tener en cuenta.

  1. Conciencia sobre la importancia de la protección de datos.
    La formación continua asegura que todos los empleados, desde la alta dirección hasta el personal operativo, entiendan la importancia crítica de proteger los datos personales y la información confidencial. Al estar informados sobre los riesgos y las consecuencias de una brecha de datos, los empleados pueden reconocer la relevancia de su comportamiento diario en la salvaguarda de la información.

  2. Comprensión de la legislación y normativas.
    Las leyes de protección de datos, como el RGPD en Europa, la CCPA en California y otras legislaciones similares en todo el mundo, son complejas y sujetas a cambios. La formación ayuda a mantener al personal actualizado sobre sus responsabilidades legales y sobre cómo la legislación afecta a sus roles específicos.

  3. Implementación de mejores prácticas.
    La capacitación proporciona a los empleados el conocimiento de las mejores prácticas en el manejo de datos, incluyendo la identificación de información sensible, el uso correcto de sistemas de TI y la aplicación de protocolos de seguridad. Esto reduce la posibilidad de errores humanos, que son una de las causas más comunes de las brechas de datos.

  4. Gestión de riesgos.
    La formación puede ayudar a los empleados a identificar y evaluar los riesgos relacionados con la protección de datos en las actividades cotidianas, así como a aplicar las medidas de mitigación adecuadas.

  5. Respuesta a incidentes.
    La comunicación efectiva asegura que, en caso de una violación de datos, todos los miembros de la organización sepan exactamente cómo se puede reaccionar, quién debe ser notificado y qué pasos deben seguir para contener y resolver la situación.

  6. Refuerzo del compromiso ético.
    Una cultura de cumplimiento también es una cuestión de ética empresarial. La formación ayuda a internalizar el valor de la privacidad y el respeto por la información personal, más allá del mero cumplimiento legal.

  7. Transparencia con las partes interesadas.
    La comunicación eficaz no solo es importante internamente sino también hacia fuera. Es vital que los clientes, socios y reguladores perciban la seriedad con la que una organización trata la protección de datos, lo que puede mejorar la reputación y la confianza en la marca.

  8. Adaptación a la evolución tecnológica.
    La tecnología y las amenazas de seguridad evolucionan rápidamente. La formación continua asegura que los empleados estén al día con los desarrollos tecnológicos y las amenazas emergentes.

  9. Fomento de una cultura de informes.
    Los empleados deben sentirse cómodos informando posibles problemas o brechas sin miedo a represalias. Una comunicación abierta y transparente fomenta una atmósfera donde los empleados se sienten seguros al reportar incidentes o conductas sospechosas (más allá del Canal de Denuncias).

  10. Mejora continua.
    La formación y comunicación son procesos continuos que ayudan a las organizaciones a adaptarse y mejorar sus prácticas de protección de datos de forma constante y alineada con los cambios en el entorno regulatorio y tecnológico.

Para que una cultura de cumplimiento sea efectiva y sostenible, es esencial que la formación y la comunicación sean vistas como inversiones continuas y no como requisito de una sola vez. Esto demuestra el compromiso de la organización con la protección de datos y refuerza la importancia de cada individuo en el proceso de proteger la información confidencial y de su compromiso con una conducta ética.

Como siempre, hagamos las cosas bien y ¡cuidaos!

EL DNI «y dos huevos duros»

por

Recordamos la célebre frase de Groucho Marx en la película “Una noche en la ópera”.  En un camarote abarrotado, Groucho hace el pedido de comida al camarero y cada vez añade un plato a la lista. Chico, otro hermano, dice: “Y también dos huevos duros”, y Harpo, el tercer hermano mudo, hace sonar la bocina para indicar que, en vez de dos, ponga tres huevos. Y así varias veces.

Me he acordado de esta frase en relación al Informe 48/2023 de la Agencia de Protección de Datos del pasado septiembre, en el que pone de manifiesto la decisión de poner freno a la práctica de que las empresas pidan copias del DNI para identificar a los ciudadanos por cualquier cuestión. Es una costumbre arraigada que empresas y Administración pidan toda suerte de documentación al ciudadano y además “también copia del DNI” (a ser posible por las dos caras).

Existe una tradición heredada de la derogada Ley Orgánica de 1999, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una copia del DNI (o NIE o documento equivalente). Esta práctica sigue llevándose a cabo sin que nadie se la cuestione porque “siempre se ha hecho así” y porqué parece que ofrece más seguridad al tráfico jurídico.

En su Informe, la AEPD considera que el uso de DNI puede resultar excesivo o directamente innecesario para cumplir con la finalidad de identificación.

¿Qué problemas plantea?

El número del DNI no es un dato de categoría especial pero sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular.

La suplantación de identidad es un perjuicio muy habitual puesto que pueden realizarse muchas gestiones como dar de alta contratos o cuentas corrientes, registrarse en sitios web de pornografía o juego online, incluso, pedir un duplicado de la tarjeta SIM.

Y también supone un reto de seguridad de la información para las empresas que realizan los tratamientos porque tienen que almacenar los DNIs, en formato analógico o digital, y asegurar su transmisión a terceros. Para compañías que manejan cientos de miles de documentos, incluso de millones, al año, no es un problema menor. Una brecha de seguridad en estos casos puede ser devastadora para su reputación, sanciones al margen.

¿Qué es el principio de minimización?

Está consagrado en el artículo 5.1.c) “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Es decir, solo podemos tratar como responsable únicamente aquellos datos que son estrictamente necesarios para la finalidad perseguida.

¿Qué dice la Agencia?

La Agencia parte de recordar el principio de responsabilidad proactiva, que recoge el RGPD, de forma que cada responsable tendrá que valorar los casos de uso concretos que se le presenten, y hacer juicios de ponderación si fuera necesario, y ver si es procedente o no pedir el DNI o tratar el número o guardar una copia para sus registros. Y, si hay que pedirlo, qué medidas de protección especial se deben aplicar.

Y en el Informe, la Agencia expone unos criterios generales como que la solicitud del número o copia del DNI no puede instaurarse por defecto y que hay que analizar cada supuesto concreto.

Y tampoco puede solicitarse una copia del DNI para el ejercicio de derechos por parte del interesado.

Como en todo, existen excepciones. Por ejemplo, se puede pedir el DNI para cumplir con la normativa en las actividades de prevención del blanqueo de capitales y la financiación del terrorismo porque la ley lo ampara.

Sanciones

Las sanciones son cada vez más frecuentes y de importe más elevado. Mensajería (por fotografiar el DNI), hoteles y plataformas como AirBnb (por pedir copia para hacer la reserva), entidades bancarias por pedir el DNI para hacer un trámite e, incluso, una sanción de 300.000€ a una empresa de selección de personal por vulnerar el art. 5.1.c) del RGPD (minimización de datos) y una infracción del artículo 12 RGPD en el ámbito del ejercicio de los derechos del interesado.

Soluciones

No hay una solución única. Cada responsable tendrá que revisar sus casos de uso y ver qué datos necesita y recoger solo esos. O, si necesita la copia del DNI, justificarlo.

Y ver si hay alternativas menos gravosas para el usuario.

Hay en el mercado soluciones técnicas que permiten, por ejemplo, escanear un documento apantallando (ofuscando, excluyendo, pixelando la imagen, etc.) determinados campos lo que permite guardar solo aquellos estrictamente necesarios.

O enviar códigos alfanuméricos al teléfono móvil que permitirá la identificación del usuario.

Conclusiones

La práctica de pedir el DNI para todo tiene que decaer. Y debe hacerse un esfuerzo por parte de todos para que se acometa la reforma de los sistemas de las empresas lo antes posible. Y tomar medidas también para con los documentos guardados, de los que hablaremos otro día.

Como siempre, ¡cuidaos!  

Revisión Textos Legales Web