Ciberseguridad

EU Data Act: ¿Estamos preparados para la nueva era de los datos?

por

12 de septiembre de 2025


 Desde hoy se aplica la EU Data Act, una normativa que cambia las reglas del juego en el acceso y uso de los datos generados por dispositivos conectados. Pero ¿qué implica exactamente y cómo afectará a empresas y usuarios?


¿Qué es el EU Data Act?


Es una ley de la Unión Europea que otorga a los usuarios —ya sean consumidores o empresas— el derecho de acceder y compartir los datos generados por sus dispositivos conectados (IoT – termostatos inteligentes o coches conectados –) de manera estructurada, en tiempo real y en formatos legibles por máquina.


¿Por qué es tan importante esta fecha?


Porque a partir del 12 de septiembre de 2025, los fabricantes deben garantizar que esos datos no quedan bajo su control exclusivo. Los usuarios tendrán libertad para reutilizarlos o compartirlos con terceros, fomentando la innovación y la competencia leal en el mercado digital europeo.


¿Qué beneficios aporta para los usuarios?


  • Transparencia total: acceso inmediato a la información generada por sus dispositivos.
  • Innovación abierta: posibilidad de que nuevas empresas desarrollen servicios basados en esos datos.
  • Mayor control: los usuarios ya no dependerán del fabricante para explotar su información.

¿Y qué implica para las empresas?


Aquí llegan los retos:


  • Adaptación tecnológica: sistemas preparados para exportar datos de manera segura y estandarizada.
  • Desarrollo de cláusulas contractuales justas
  • Cumplimiento legal: alineación con el RGPD y con la ciberseguridad.
  • Costes y procesos: inversión en infraestructura y formación para adecuarse a la norma.
  • Penalizaciones por incumplimiento

¿Estamos ante un cambio cultural?


Sí. La propiedad y el control de los datos ya no reside solo en los fabricantes. Europa apuesta por una economía digital más abierta, transparente y centrada en el usuario, donde compartir datos no sea una excepción, sino una práctica habitual y segura.


Conclusión


El EU Data Act es mucho más que una norma técnica: es un paso firme hacia un mercado digital europeo más competitivo y equilibrado. La pregunta ahora es: ¿convertirán las empresas esta obligación en una oportunidad real?


Evalúa tu cumplimiento hoy para convertir los retos en ventajas competitivas.


Como siempre, cuidad los datos y ¡cuidaos!

Privacidad en peligro: sancionan a una inmobiliaria por espiar buzones sin consentimiento

por

Un extrabajador de ESTUDIO ALCAZAR DEL GENIL 2022, S.L denunció a la inmobiliaria ante la AEPD por haber sido obligado a tomar fotos de buzones de comunidades de vecinos para crear una base de datos de posibles clientes, sin permiso ni información previa a los afectados. Al negarse, fue despedido.


Durante la investigación, la AEPD confirmó que se recopilaron datos personales (nombres, direcciones, puertas y plantas) sin consentimiento y que se subieron a una base de datos utilizada con fines comerciales.


Fundamentos Jurídicos Clave


¿Qué se considera un dato personal?


Según el Reglamento General de Protección de Datos (RGPD), cualquier información que identifique o pueda identificar a una persona, como nombre, dirección o incluso datos de un buzón, se considera dato personal.


¿Qué se entiende como tratamiento de datos?


El tratamiento de datos implica cualquier acción sobre esos datos: recogerlos, almacenarlos, usarlos, etc.


¿Se puede hacer lo que hizo la empresa?


No. El artículo 6 del RGPD exige una base legal para tratar datos personales. Por ejemplo, el consentimiento del afectado, un contrato, una obligación legal o un interés legítimo que no dañe los derechos del ciudadano.


En este caso, la empresa no tenía ninguna base legal, ya que no pidió permiso ni informó a los vecinos, y tampoco se trataba de una fuente pública ni había otro motivo que lo justificara.


Infracción


La AEPD concluye que Estudio Alcázar cometió una infracción muy grave por tratar datos personales sin base legal (art. 6 RGPD), además de ser consciente de la infracción (art. 83.2.b) RGPD), pues la supervisora del extrabajador le reconoció que esta práctica formaba parte de la metodología implementada para la gestión de zonas.


Además, la inmobiliaria no informó a los titulares de los datos recabados ningún tipo de información sobre dicho tratamiento. Esto supone una vulneración del art. 14 RGPD, el cual establece la obligación del responsable del tratamiento de proporcionar información clara y accesible al interesado cuando los datos personales no han sido obtenidos directamente de él.


Sanción


La AEPD impuso una sanción de 20.000€, que, tras el reconocimiento de su responsabilidad y pago voluntario, quedó reducida a 12.000€.


Conclusión


Este caso pone en evidencia algo fundamental: el nombre del buzón es un dato protegido por ley. Nadie puede recopilar esa información sin el permiso del titular para usarla con fines comerciales. Las empresas tienen la obligación de respetar su privacidad y solo pueden usar sus datos cuando tienen una base legal clara. Si no es así, se enfrentan a sanciones como esta.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Responsabilidad civil en la era digital: el Supremo confirma la condena a Gamboa Automoción por una estafa informática

por

La sentencia del Tribunal Supremo nº136/2025 resuelve un recurso de casación presentado por GAMBOA AUTOMOCIÓN S.A., condenado como responsable civil subsidiario por una estafa informática sufrida por la empresa CYASA (Comercio y Asistencia S.A.).


La estafa se produjo en abril de 2018 cuando terceros suplantaron el correo de un empleado de Gamboa para inducir a CYASA a realizar una transferencia por más de 32.000 euros a una cuenta fraudulenta. El Tribunal confirma la responsabilidad subsidiaria de Gamboa por omitir medidas de prevención tras una brecha de seguridad detectada el día anterior a los hechos.


La cuestión clave que analiza el Supremo gira en torno a si los requisitos del artículo 120.3 del Código Penal se cumplen para imponer esa responsabilidad civil. Este artículo exige que: el delito se cometa en un «establecimiento» de la entidad; exista infracción de normas reglamentarias o disposiciones de la autoridad atribuible a sus administradores o empleados; y que dicha infracción esté relacionada causalmente con el delito.


El Tribunal señala que el sistema informático—como medio habitual y necesario—forma parte del entorno funcional del negocio, por lo que, pese a que el delito no ocurrió físicamente en un local, sí ocurrió en un «entorno operativo» de la empresa.


Asimismo, la empresa incurrió en una omisión relevante, pues, a pesar de a haber detectado un incidente similar con otra empresa (Romauto Motion S.A.) la mañana del 10 de abril de 2018, Gamboa no avisó a sus demás socios comerciales ni tomó medidas para prevenir un nuevo ataque.


Por todo lo expuesto, el Tribunal consideró probado que hubo una brecha de seguridad en su sistema informático y que la falta de comunicación e inacción de la empresa fue clave para que el fraude a CYASA se consumara.


Lecciones clave para las empresas


Esta sentencia marca un precedente importante:


  • No actuar ante una brecha de seguridad equivale a asumir riesgos legales.
  • Las empresas tienen un deber proactivo de protección y de comunicación cuando detectan vulnerabilidades que pueden afectar a terceros.
  • No es necesario identificar al empleado culpable para que se imponga responsabilidad civil a la empresa.
  • Las medidas preventivas no son opcionales. Son una obligación legal y operativa.

Conclusión


Esta sentencia es una advertencia clara para todas las empresas: si una empresa detecta una incidencia de seguridad y no informa ni actúa con rapidez, puede terminar condenada, aunque no haya participado en el delito.


Hoy más que nunca, la gestión de riesgos digitales es parte esencial del cumplimiento legal y del deber de diligencia empresarial. Y cuando ese deber se incumple, los costes van mucho más allá de lo tecnológico: impactan en la reputación, las finanzas y la responsabilidad jurídica de la empresa.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Secretos al descubierto: La batalla legal contra empleados que se llevan el know-how

por

La protección de la información confidencial y el know-how es fundamental para el éxito y la supervivencia de las pequeñas y medianas empresas (pymes) en el competitivo entorno empresarial actual. En este contexto, la implementación de acuerdos de confidencialidad y medidas de seguridad adecuadas juega un papel fundamental.

Importancia de los acuerdos de confidencialidad

Los Acuerdos de Confidencialidad son herramientas legales esenciales que establecen una relación de confianza entre la empresa y sus empleados.

Estos acuerdos definen claramente qué información se considera confidencial y establecen las obligaciones de los empleados para protegerla

 Al firmar estos acuerdos, los trabajadores se comprometen legalmente a no divulgar ni utilizar indebidamente la información sensible de la empresa.

Para las pymes, estos acuerdos son especialmente importantes por varias razones:

  1. Protección de secretos comerciales: Los acuerdos de confidencialidad salvaguardan fórmulas, algoritmos, estrategias empresariales y otros activos intangibles que son fundamentales para la ventaja competitiva de la empresa.
  2. Prevención de fugas de información: Establecen expectativas claras sobre el manejo de la información confidencial, reduciendo el riesgo de divulgación accidental o intencionada.
  3. Base legal para acciones legales: En caso de incumplimiento, proporcionan una base sólida para tomar medidas legales contra el empleado infractor.
  4. Fomento de la cultura de seguridad: La firma de estos acuerdos sensibiliza a los empleados sobre la importancia de la confidencialidad y promueve una cultura de seguridad en la empresa.

Medidas de seguridad para prevenir brechas

Además de los acuerdos de confidencialidad, las pymes deben implementar medidas de seguridad robustas para proteger su información sensible y prevenir brechas de seguridad. Algunas estrategias clave incluyen:

  1. Formación continua: Educar a los empleados sobre las mejores prácticas de seguridad, como la detección de phishing y el manejo seguro de datos confidenciales.
  2. Protocolos de seguridad actualizados: Establecer y mantener protocolos claros sobre el manejo de información confidencial y actualizarlos regularmente.
  3. Control de acceso: Limitar el acceso a la información sensible solo a los empleados que realmente lo necesiten para realizar sus funciones.
  4. Actualización de software: Mantener todos los sistemas y software actualizados con los últimos parches de seguridad para prevenir vulnerabilidades conocidas.
  5. Cifrado de datos: Implementar técnicas de cifrado para proteger la información confidencial tanto en reposo como en tránsito.
  6. Copias de seguridad: Realizar copias de seguridad regulares de la información crítica para garantizar su recuperación en caso de incidentes.
  7. Plan de respuesta a incidentes: Desarrollar un plan claro para responder rápida y eficazmente a posibles brechas de seguridad.

Consecuencias de no implementar estas medidas

La falta de acuerdos de confidencialidad y medidas de seguridad adecuadas puede tener graves consecuencias para las pymes:

  1. Pérdida de ventaja competitiva: La divulgación de secretos comerciales puede erosionar rápidamente la posición de la empresa en el mercado.
  2. Daño reputacional: Las brechas de seguridad pueden dañar gravemente la confianza de los clientes y socios comerciales.
  3. Sanciones legales: El incumplimiento de las normativas de protección de datos puede resultar en multas significativas.
  4. Interrupción del negocio: Una brecha de seguridad grave puede llevar a la interrupción de las operaciones y, en casos extremos, al cierre de la empresa.

En conclusión, para las pymes, la implementación de acuerdos de confidencialidad y medidas de seguridad robustas no es solo una buena práctica, sino una necesidad crítica para su supervivencia y crecimiento. Estas medidas no solo protegen los activos intangibles de la empresa, sino que también fomentan una cultura de seguridad, aumentan la confianza de los clientes y socios, y proporcionan una base sólida para el crecimiento sostenible en un entorno empresarial cada vez más digitalizado y competitivo.

Como siempre, ¡cuidad los datos y cuidaos!

 

Nota Técnica (resumen)

El Tribunal Superior de Justicia de Valencia confirmó el despido procedente de una trabajadora por descargar, sin autorización, información confidencial (know-how) de su empresa, Honeygreen SAU, mientras estaba de baja médica. Cabe recordar que el know-how engloba conocimientos técnicos y estratégicos clave para la competitividad de una empresa, por lo que suele estar protegido por estrictas cláusulas de confidencialidad que, en este caso, la trabajadora no respetó.  

El TSJ de Valencia subrayó que las cláusulas adicionales y anexas firmadas de confidencialidad y sobre uso de medios informáticos y tecnológicos, que recogían las normas, códigos y protocolos a seguir, impedían a la trabajadora «no solo el uso fuera de la empresa de archivos, documentos, trabajos, sino, por supuesto, la reproducción, copia y envío, precisamente lo que incumplió».  

Por ello, se concluyó que la conducta llevada a cabo por la trabajadora suponía una transgresión de la buena fe contractual. 

Puedes leer la sentencia aquí

¿Qué medidas de seguridad deben implementar las empresas en relación a la protección de datos en España?

por

Las empresas en España deben implementar diversas medidas de seguridad para cumplir con la normativa de protección de datos y garantizar la privacidad de los datos personales.

Repasemos las medidas principales:

Implementación de políticas y normativas de seguridad informática: Es fundamental para proteger los activos digitales y establecer los procedimientos necesarios para prevenir y mitigar los riesgos cibernéticos.

Concienciación y formación en ciberseguridad: La concienciación y formación son aspectos cruciales para promover una cultura de seguridad en las organizaciones.

Educación y concienciación constante: Es crucial promover la educación en ciberseguridad desde el inicio y fomentar la concienciación continua en todos los niveles, no solo a los directivos sino también a los empleados de las organizaciones.

Colaboración público-privada: La cooperación entre el sector público y privado es esencial para hacer frente a los desafíos de seguridad digital, compartiendo información, buenas prácticas y recursos para fortalecer la protección.

Adaptación a las nuevas amenazas: Las organizaciones deben estar preparadas para hacer frente a las nuevas y sofisticadas formas de ciberataques, actualizando constantemente sus sistemas de seguridad y adoptando medidas preventivas más sólidas.

Rol de la inteligencia artificial y otras tecnologías emergentes en la protección de datos: La inteligencia artificial (IA) y otras tecnologías emergentes están desempeñando un papel cada vez más importante en la protección de datos. Hay que ser capaz de aprovechar su potencial. Formarse es una obligación.

Identificación de riesgos y análisis de brechas de seguridad: La identificación de riesgos y el análisis de brechas de seguridad son procesos fundamentales en el marco de la normativa de Protección de Datos, tanto para garantizar la ciberseguridad como para cumplir con los requisitos de privacidad.

Notificación de brechas de seguridad: Recordemos que se debe notificar cualquier brecha de seguridad a la AEPD en un plazo máximo de 72 horas.

Medidas técnicas y organizativas: Implementar medidas de ciberseguridad como el uso de software de protección, el cifrado de datos o las políticas adecuadas de autenticación resultan indispensables para el cumplimiento de la Ley.

Políticas de seguridad y formación en ciberseguridad: La definición de políticas de seguridad y la formación en ciberseguridad del personal de forma proactiva son medidas organizativas previstas por la Ley de Protección de Datos.

Responsable de protección de datos: Las empresas con un gran volumen de datos —más de 50.000 registros— y aquellas de cualquier tamaño que manejen información como los centros docentes, los sanitarios y las empresas de marketing, han de contar con un responsable de protección de datos.

Certificado ISO 27001: La certificación ISO 27001 es una garantía para la seguridad de los datos personales.

Implementación de sistemas de auditoría y monitorización: La implementación de sistemas de auditoría y monitorización capaces de realizar un seguimiento de las actividades relacionadas con el tratamiento de datos es una medida de ciberseguridad prevista por la Ley de Protección de Datos.4

DPD (Delegado de Protección de Datos): El DPD es un profesional que se encarga de garantizar el cumplimiento de la normativa de protección de datos en las empresas.

Esquema Nacional de Seguridad: El Esquema Nacional de Seguridad es un instrumento clave para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras.

Estas medidas de seguridad están diseñadas para proteger los datos personales y garantizar la privacidad de los ciudadanos, cumpliendo con la normativa de protección de datos en España y la normativa europea.

No bajemos la guardia. Los datos personales no pueden estar en riesgo. Nos jugamos mucho como empresa y como personas.

Y como siempre, ¡cuidaos!

Nuevas «smart glasses» de Meta y Ray-Ban: tecnología que asusta

por
Meta ha anunciado en su evento Meta Connect 2023 sus nuevas gafas inteligentes en colaboración con Ray-Ban. Es la segunda generación de las Ray-Ban Meta Smart Glasses, que han sido diseñadas por EssilorLuxottica y se pondrán a la venta en EEUU el próximo 17 de octubre con un precio inicial de 299 dólares (no se sabe aún cuánto costarán en España).
 
La combinación de la experiencia de un gran fabricante de gafas como Ray-Ban con una plataforma tecnológica puntera ha dado a luz un producto tremendamente avanzado, con posibilidades muy bien infinitas y a un precio asequible.
 
Las especificaciones técnicas son, sencillamente, brutales. Cámara mejorada de 12 MP, emisión en directo en Instagram y Facebook, audio mejorado, llamadas y mensajes, comandos de voz, touchpad y botón de captura, estuche de carga y, naturalmente no podía faltar, Meta AI para encontrar la información en el momento preciso desde tus gafas. Dispone también de una App dedicada.
 
Y el diseño es Ray-Ban. Con eso lo decimos todo. Desde el estuche casi convencional (pero que almacena 8 cargas) hasta dos diseños icónicos: Wayfarer y Headliner, en diferentes colores. Son ligeras, a la moda y con más de 150 combinaciones de monturas y cristales. Y, naturalmente, se pueden graduar a petición.
 
Y, hasta aquí, la parte brillante de la noticia. Pero, como las monedas, todo tiene dos caras. Y el reverso es, como casi siempre, la privacidad. No olvidemos que estamos hablando de Meta, una compañía que se ha destacado siempre por tener un absoluto desprecio por los datos personales de sus usuarios.
 
Sólo hay que recordar el escándalo de Cambridge Analytica que desveló que la empresa accedió indebidamente a datos de millones de usuarios de Facebook para influir en las elecciones.
 
Y, desde la entrada en aplicación del RGPD en 2018, Meta ha enfrentado multas récord y litigios relacionados con la privacidad de los datos en varios países, incluidos Estados Unidos y los países miembros de la Unión Europea, debido a su gestión de la información del usuario. Estos han incluido problemas con el consentimiento del usuario y el compartir datos con terceros sin permiso explícito.
 
Otro problema importante que tiene Meta es el uso de datos del usuario para hacer publicidad dirigida, mediante, algoritmos para mostrar contenido y anuncios personalizados. Esta práctica ha levantado críticas en relación con la privacidad y la autonomía del usuario.
 
Tantas han sido las críticas y tanto el debate en los medios o en las redes que, finalmente, Facebook tuvo que cambiar su nombre corporativo a Meta.
 
Y, ahora, tras la iniciativa del Metaverso (que de momento no arranca), presenta la segunda generación de gafas inteligentes. Y, claro, lo primero que pensamos es en el horror de millones de usuarios recopilando datos, en todo momento y lugar, en foto, vídeo audio y subiéndolas en directo a las redes sociales.
 
Tendremos que ver la Política de Privacidad de Meta por este supuesto pero, permitidme no ser muy optimista, vista su trayectoria hasta ahora. Eso sí, las gafas son una «pasada» y quién sabe si tendrán éxito y pronto todos llevaremos gafas inteligentes con la misma naturalidad que llevamos reloj.
 
De momento, pero, cuidaos!

No todo serán cookies

por

Además de los cookies o el píxel de Facebook, hay otras técnicas para intentar predecir los intereses de los usuarios y hacer que compren el producto, que es el final el que interesa a las empresas. Entre estas técnicas apuntamos hoy el análisis de comportamiento que tiene, cada día más, un gran predicamento en el área de ciberseguridad, la salud y la seguridad de las personas y, cómo no, en el campo de los servicios y el marketing.

El análisis de comportamiento de usuarios (UEBA, por sus siglas en inglés) que se utiliza en los servicios de Internet recogen grandes cantidades de datos de usuarios o entidades, aplicando, casi siempre, técnicas de machine learning  (aprendizaje automático o de Inteligencia Artificial (IA) para generar modelos de comportamiento.

Y esta técnica también se puede aplicar en el ámbito del marketing para entender mejor el comportamiento de los consumidores y mejorar la experiencia del usuario en el sitio web o la aplicación móvil. No obstante, la implementación de UEBA en el marketing también plantea preocupaciones sobre la privacidad y protección de datos personales de los usuarios.

El análisis de comportamiento de usuarios en el marketing implica el uso de datos de registro de eventos para entender cómo los usuarios interactúan con el sitio web o la aplicación móvil. A través del análisis de estos datos, los especialistas en marketing pueden identificar patrones de comportamiento de los usuarios, incluyendo cómo interactúan con la página, qué productos o servicios buscan, qué contenidos les interesan, entre otros.

Estos datos pueden ser extremadamente valiosos para las empresas, ya que les permiten personalizar la experiencia del usuario y ofrecer contenido y ofertas que sean más relevantes para ellos. Por ejemplo, un sitio web de comercio electrónico puede utilizar el análisis de comportamiento de los usuarios para identificar los productos que los usuarios están buscando con más frecuencia y ofrecer ofertas especiales en estos productos.

No obstante, el uso de UEBA en el marketing también plantea desafíos significativos en términos de privacidad y protección de datos personales. Los datos de registro de eventos utilizados en el análisis de comportamiento de usuarios pueden incluir información personal y confidencial, como direcciones IP, información de navegación, información de compras y otra información relacionada con la actividad del usuario en el sitio web o la aplicación móvil.

Como siempre, dos caras de la moneda. Una ventaja tecnológica que tiene la cruz en la privacidad del usuario. Recuerda la AEPD que los principios del RGPD son de obligado cumplimiento, incluyendo el principio de transparencia. Y muchas veces los usuarios no somos informados debidamente.

Es necesario que estemos siempre alerta. ¡Cuidémonos!

MWC23, reconocimiento facial e inquietudes de privacidad

por

No es ningún secreto que la tecnología nos puede facilitar mucho la vida a las personas. Por ejemplo, a la hora entrar en el Mobile World Congress 2023. Llegas a la entrada al mismo momento que otros centenares de ciudadanos y la primera preocupación es imaginarnos una hora haciendo cola en los mostradores de acreditación. Pero no, la primera agradable sorpresa es que no hay cola. Literal. Si has hecho los deberes y dispones de tu pase de acceso digital, puedes pasar sin detenerte mediante la tecnología de reconocimiento facial. Voilà!

¿Qué es el MWC23?

Según la organización, el MWC es el evento de conectividad más grande e influyente. Y estoy seguro de que lo es. Si, según la RAE, la pornografía es la pólvoraabierta y cruda del sexo que busca producir excitación en el receptor, podemos calificar el espectáculo del Congreso como de tecnográfico.  Busca provocar la excitación en el espectador a base de presentarle abierta y crudamente las más avanzadas tecnologías. Y se ha convertido en una orgía desenfrenada de luz, de color, de imágenes de proporciones gigantescas, de sonidos, comunicaciones, espectáculos, relaciones profesionales, negocio y datos. Sobre todo, datos. Desmesuradas como poco.

La cuestión

Es muy simple. Debemos responder a la siguiente pregunta: a cambio de qué estamos dispuestos a ceder, y en qué parte, la soberanía de nuestros datos, nuestra soberanía digital.

Nuestra imagen en miles de fotografías, centenares de cámaras de vigilancia o, incluso, en selfies hechos en el stand de Samsung. Nuestros datos, incluso biométricos, esparcidos por centenares de empresas que los utilizarán, legítimamente, para múltiples propósitos. Todo impulsado por las últimas tecnologías: Big Data, Inteligencia Artificial, Machine learning, … de las que todavía no tenemos una idea clara de su alcance. ¡Asusta!

Política de Privacidad del MWC: que levante la mano quien la haya leído.

Sí, se tienen que leer, como todo. Y, como todo, no se leen. Vaya de antemano que la Política de Privacidad cumple con todos los requisitos que impone el RGPD. Y sortea bastante bien todas las dificultades que se presentan para regular el uso de tantos datos y de naturaleza tan variada. Podríamos ponerlas, incluso, como modelo para otras organizaciones.

Eso no quita que si paremos en algunas de las cláusulas, éstas resultan escalofriantes. Por ejemplo, la cantidad de datos que proporcionamos voluntariamente (incluidas las biométricas del reconocimiento facial), las informaciones que se recogen automáticamente y las que proporcionan terceras partes (a quienes hemos proporcionado voluntariamente la información).

Pasamos después a ver con quién comparten la información y vemos que lo hacen con empresas afiliadas, agentes, vendedores o proveedores de servicios, compradores potenciales y por imperativo legal. Y además, con cualquier otra persona cuando hayamos consentido la divulgación.

Y en cuanto a la transferencia internacional de datos (fuera del Área Económica Europea, Suiza y UK), nuestros datos biométricos están gestionados por una empresa con base en Hong-Kong. Y si se transfieren a otros países no adecuados, se hace con el apoyo de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

En fin, muchas partes móviles (no es un chiste) en el esquema. Muchos datos, de muchas personas y que gestionan muchas empresas en una variedad de circunstancias. Definitivamente, muy complejo.

Vale decir, también, que nos ofrecen muchas maneras de controlar nuestra información. Repito, todo conforme a ley. Y esta Política de Privacidad puede servir de modelo para otros textos de privacidad.

¿Qué podemos hacer?

Pues preocuparnos nosotros mismos por nuestra privacidad. Está bien que las empresas se preocupen de ello, es su obligación, pero nosotros no podemos rehuir de la nuestra. La privacidad, bien entendida, empieza por uno mismo (como decía un viejo anuncio). Y nuestra privacidad debe ser activa, militante, dispuestos a defenderla en cualquier circunstancia. No podemos tener ninguna expectativa de privacidad si nosotros no somos muy respetuosos con ella. No puede ser de otra manera.

Y para pasar a la acción, lo primero que necesitamos es saber qué sabe Internet de nosotros. Esto lo podemos hacer gracias a nuestro Servicio de Huella Digital apoyados por nuestro partner Youforget.me. A partir de aquí, os ayudaremos a retomar lo que nunca teníamos que haber perdido: la soberanía de nuestros datos.

De pequeño, mis padres siempre me advertían que no aceptara nunca caramelos de desconocidos. Y ahora, de mayor, no hago otra cosa todo el día. ¡Cuidáis vuestra privacidad!

Además del affaire Shakira-Piqué, en el mundo pasan más cosas

por

Por ejemplo, mañana celebramos el Día Europeo de la Protección de Datos. El 2022 ha sido de gran actividad legislativa que afectará a las empresas en esta materia ya en este 2023. Recordaremos las principales y apuntaremos algunos detalles.

En pleno tsunami de la inteligencia artificial –con ChaptGPT como máximo exponente– he tenido la tentación de escribir este post usando esta herramienta que ahora está de moda. No lo he hecho, naturalmente, por muchas razones. Digamos ética, dignidad o vergüenza profesional. Pero lo importante es entender que esta tecnología, como otras, tendrá un impacto enorme en nuestra sociedad. Y que la Protección de Datos toma un papel muy destacado en defensa de nuestra privacidad. Y, como se dice habitualmente, es cosa de todos.

Podemos poner algunos ejemplos. Microsoft saca al mercado VALL-E, una IA como ChatGPT que imita tu voz escuchándote tan solo durante 3 segundos. Imita la voz, la cadencia, incluso, el ambiente. Y para hacerlo fácil (y para intentar aumentar cuota), Microsoft quiere integrar estas herramientas en su buscador Bing. Y, claro, eso ha puesto de los nervios a Google.

Sea como fuere, está claro que las tecnologías avanzan de forma exponencial y, cada día más, tienen un fuerte impacto en nuestra privacidad. Por eso todos, –administraciones, legisladores, operadores jurídicos, empresas y, por supuesto, los usuarios– tenemos que hacer un esfuerzo permanente para que este nivel de protección conseguido con el RGPD no sólo se mantenga, si no que vaya a más.

Avances normativos

Este 2022, el legislador nos ha ayudado aprobando una serie de medidas, todas encaminadas a conseguir, al menos intentarlo, ir a la par con las tecnologías. Recordemos las siguientes:

  1. Ley Europea de Inteligencia Artificial (aplicable a todos los usos que afecten a ciudadanos de la UE).
  2. Ley de Mercados Digitales y la Ley de Servicios Digitales (la primera, para vigilar a las grandes plataformas digitales («gatekeepers«) y la segunda, para crear un entorno online más seguro y responsable).
  3. Nuevo acuerdo de protección de datos entre Europa y EEUU (para sustituir al Privacy Shield).
  4. Directiva NIS 2 (medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la UE).
  5. Propuesta de Reglamento de Ciberseguridad en productos con elementos digitales (para establecer requisitos de ciberseguridad en toda la UE por una amplia gama de productos de software, hardware, navegadores, sistemas operativos y una larga lista de soluciones de procesamiento de datos en remoto).

Todas las iniciativas son muy interesantes y van encaminadas a la protección de los usuarios online. En próximos posts entraremos en más detalle en cada una de las normativas.

Recomendaciones

Como decíamos al principio, la protección de datos es cosa de todos. Nuestra, también. Por lo tanto, mañana 28 de enero, es un buen momento para revisar todas nuestras rutinas de protección y seguridad. Y, si necesitamos ayuda, INCIBE.

Como siempre, cuidámonos y cuidemos nuestros datos!

Revisión Textos Legales Web