Derecho y empresa en entornos digitales

Claves sobre la Protección de Datos en el trabajo

por

La Agencia Española de Protección de Datos ha publicado una guía sobre protección de datos y relaciones laborales. El documento encara cuestiones como la consulta del empleador en las redes sociales, los sistemas  internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de datos de las víctimas de acoso al trabajo, los de las mujeres supervivientes a la violencia de género o el uso de tecnología wearable como elemento de control.

La protección de datos en el ámbito laboral siempre ha sido rodeada de polémica. Hasta hace poco, pero, se mantenía en la colisión de los derechos fundamentales del trabajador respecto a su intimidad con el uso – y muchas veces abuso- de la tecnología por parte de la dirección empresarial. El acceso indebido a las comunicaciones electrónicas del trabajador (caso Barbulescu) o la utilización indiscriminada de las cámaras de vigilancia son dos de los ejemplos más conocidos.

La Agencia aborda ahora temas de mucha actualidad. Por ejemplo, el uso de las redes sociales por parte de los departamentos de selección de personal que no  tienen permiso para indagar en los perfiles de los candidatos, ni durante el proceso de selección ni durante la ejecución del contrato, aunque el perfil sea de acceso público. La empresa, incluso, no está legitimada para solicitar “amistad” a los candidatos para que proporcionen acceso a contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias, se admiten denuncias anónimas y, cuando no lo sea, la confidencialidad de la información y del denunciado tienen que preservarse. Solo se podrán acceder a estos datos en caso de procedimientos disciplinarios y notificaciones a las autoridades de hecho constitutivos de ilícito penalti o administrativo.

Respeto al registro de jornada laboral, la AEPD recomienda que este sea lo menos invasivo posible, sin que sea de acceso público ni visible por todos. Y esta información no se puede usar para finalidades diferentes como, por ejemplo, geolocalizar al trabajador.

La Agencia se ocupa también de las víctimas de acoso al trabajo y de la violencia de género, otorgando a todos los efectos la consideración de categoría especial de los datos personales, considerándolos datos sensibles que requieren una protección reforzada.

La Agencia recuerda que la única base jurídica que legitima el tratamiento de los datos es la ejecución de un contrato de trabajo (además del imperativo legal o por un convenio colectivo).  Y hay que facilitar la información correspondiente, explicar los derechos que asisten a los trabajadores en esta materia y como ejercerlos.

Son todos temas relevantes en el ámbito laboral que, empresarios y trabajadores tienen que tener muy presente en el día a día.

Cuidaos!

IA, Marketing y Protección de Datos

por

IA, Marketing y Protección de Datos

La inteligencia artificial (IA), en contraposición a la natural, se la inteligencia llevada a cabo por las máquinas. Marvin Minsky asigna a la inteligencia artificial la “realización de sistemas informáticos con un comportamiento que en el ser humano calificaríamos de inteligente”. Está destinada a resolver los tipos de problemas que, hasta ahora, estaban reservados a los seres humanos.

Las aplicaciones cotidianas de la IA son cada vez más frecuentes: cuando hablamos con un asistente de voz (Alexa) que aprende de nuestros gustos, consultamos una ruta en tiempo real en Google Maps, aplicaciones de streaming como Spotify o Netflix aprenden de nuestras preferencias y de nuestra actividad para hacernos recomendaciones. Y que decir del inefable Facebook que, un estudio de La Universidad de Stanford concluyó que la red social podía juzgar nuestra personalidad mejor que los amigos o la familia, e incluso, mejor que nosotros mismos. Todo a partir de un determinado número de likes (y no demasiados).

Cómo es natural, la IA tiene una infinidad de campos de trabajo. Uno de ellos, y uno de los más importantes, es el marketing digital. Entre las capacidades necesarias para desarrollar una estrategia de marketing digital, hay una imprescindible que es la capacidad analítica. Y aquí la IA resulta imprescindible para, por un lado, conocer las motivaciones, los objetivos, las aspiraciones y el comportamiento de los usuarios y, por el otro, el análisis de los resultados de todas las actividades de marketing que llevamos a cabo.

La IA nos puede ayudar, por ejemplo, en el análisis predictivo (podemos avanzarnos a las necesidades del usuario para ofrecerle productos y servicios incluso antes de que sea consciente); en la gestión de clientes (CRM) para gestionar leads (clientes potenciales) y convertirlos, vía embudo de ventas, finalmente en clientes; naturalmente, podemos usar IA para publicidad digital nativa usando cookies (o píxeles de FB), chatbots y técnicas de Machine Learning. Incluso nos puede ayudar en la generación de contenidos gracias a la tecnología de Procesamiento del Lenguaje Natural (PLN).

Y todo esto de la IA parte de datos, de nuestros datos, para dar resultados. Y, como son nuestros datos, ha generado, como dice la AEPD, muchas dudas entre usuarios, especialistas, autoridades y la industria en relación a aspectos de cumplimiento normativo, respecto a los derechos de los interesados y seguridad jurídica de todos los intervinientes.

No hay duda de los inmensos beneficios que nos reporta ya la IA y los que nos reportará en el futuro. Pero hace falta que tengamos presente que no todo vale y que nuestra privacidad es la última frontera de la tecnología. Traspasada esta, el futuro será muy complicado.

Cuidaos!

Data Pro Quo

por

Quid pro quo es una expresión latina, de uso muy frecuente en el ámbito jurídico, que podríamos traducir como “una cosa por otra”. Se refiere a lo que se da a cambio de otra cosa.

Aprovechando el juego de palabras, la empresa Shackleton ha presentado Data Pro Quo, la primera máquina vending en la que se paga con datos. Sí, los productos no se pagan con dinero sino con nuestros datos. Partiendo del concepto de que los datos son la nueva moneda, la empresa lo ha llevado a la práctica de forma literal.

Ya estamos acostumbrados a cambiar datos por servicios, aunque hasta ahora lo hacíamos de forma implícita. Lo hacemos cada día una docena de veces: cuando queremos entrar en una página web (recordemos las cookies), cuando queremos descargar un documento o un ebook, cuando nos instalamos una app y tantos otros ejemplos.

Ya hace tiempo que perdimos la inocencia. Al principio pensábamos que los productos y servicios en línea eran gratuitos. Llenábamos formularios a diestro y siniestro, bajábamos cualquier tipo de infoproducto como si no hubiera un mañana y, por supuesto, instalábamos apps cada día (¿habéis contado cuántas apps tenéis instaladas en el móvil?). Por no hablar de las redes sociales que son verdaderas yonquis de los datos.

Porque todo este capital de datos que corre por Internet requiere una colosal infraestructura formada, entre otras, por centenares de miles de servidores, millones de kilómetros de fibra óptica y una gestión brutal de la energía necesaria por que nosotros podamos enviar un whastapp. Y esto tiene un coste muy elevado.

Con Data Pro Quo nos encontramos con la primera propuesta honesta de intercambio de datos por producto. El funcionamiento es el mismo que cualquier máquina de vending en la que el usuario elige el producto que quiere comprar. Y para pagar, en vez de dinero o tarjeta (no se admite otro forma de pago), tiene que responder a una serie de preguntas empezando por el cargo (la máquina está destinada a entornos corporativos) y, en función del perfil, aparecen diferentes cuestiones que, una vez contestadas, dan acceso al producto deseado.

Además de honesta y creativa, la propuesta es inteligente en el sentido que considera al usuario como una persona formada, que valora su privacidad y a quien, de forma abierta, se le puede proponer el intercambio de datos por producto.

Como siempre, tendremos que estar atentos a la gestión de los datos, una vez recogidos, desde el punto de vista de la privacidad y el control que haga la empresa sobre el riesgo de un eventual escape de datos del servidor interno. Pero esto será tema de otro post.

Cuidaos!

Nuevo Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria bajo el RGPD

por

A finales del año pasado, la AEPD aprobó el primer Código de Conducta bajo el RGPD. Este Código es el de Tratamiento de Datos en la Actividad Publicitaria. Probablemente eclipsado por otras novedades como la entrada en vigor del nuevo Código de Conducta sobre el Uso de Influencers en la Publicidad (que ya tratamos en este post: “Inflluencer”: aquí tienes tu Código), el sector no le ha prestado suficiente atención. Así que en las próximas líneas haremos un resumen de las novedades y repasaremos los puntos clave.

Digamos, de entrada, que el contenido principal del Código es el establecimiento de un sistema extrajudicial para tramitar reclamaciones sobre protección de datos y publicidad, ágil, eficaz y gratuito para los consumidores. La elaboración de los Código de Conducta está recogida en los artículos 40 y 41 del RGPD. El RGPD establece que las autoridades de control tienen que promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los diferentes sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas .

En la primera parte, el Código revisa los principios de tratamiento de datos que la industria publicitaria tiene que cumplir, en especial hace referencia a las medidas de protección de datos desde el diseño y por defecto y el principio de minimización. También recuerda la obligación de informar a los interesados del tratamiento de sus datos con fines de marketing, que el consentimiento se tiene que dar separado e inequívocamente o que el interés legítimo exige una ponderación. También recuerda la necesidad de consulta previa a los sistemas de exclusión publicitaria si no hay consentimiento expreso.


Quizás uno de los aspectos más relevantes del Código es el nuevo sistema extrajudicial de resolución de reclamaciones de protección de datos y publicidad. El procedimiento que se establece permite que los usuarios que lo deseen presenten reclamaciones gratuitamente contra las empresas adheridas al Código cuando entiendan infringidos sus derechos de protección de datos en el marco de una actividad publicitaria, como por ejemplo; la recepción de publicidad no deseada, el ejercicio de derechos relacionados con la publicidad (como el de oposición), y el tratamiento de datos en promociones publicitarias o mediante cookies publicitarias, entre otras.

Y para las empresas, ofrece un mecanismo de resolución de reclamaciones especializado, ágil, de bajo coste y eficaz, alternativo a la intervención administrativa. Y se considera una medida de responsabilidad proactiva y puede ser una atenuante en caso de eventuales sanciones.

A este Código se pueden adherir cualquiera de las entidades de la industria publicitaria. Es una herramienta útil en materia de Compliance que ayudará a las empresas a mejorar su reputación ante el consumidor, aumentando su confianza. Y ayudará a los consumidores a mantener su privacidad bajo control.

Cuidaos!

Multas AEPD: Sanción por 8 correos sin copia oculta

por

A principios de diciembre, la Agencia Española de Protección de Datos publicaba la resolución por la que se imponía a un despacho de abogados una sanción de 10.000 €. El motivo? Haber enviado un correo electrónico a ocho destinatarios, informando sobre el bloqueo de sus cuentas, sin utilizar la copia oculta.

EL RGPD establece en el artículo 5 los principios que deben regir el tratamiento de los datos personales y menciona entre ellos el de «integridad y confidencialidad». El artículo exige los datos «serán tratados de tal manera que se garantice una seguridad adecuada».

Asimismo, el artículo 32 del RGPD «Seguridad del tratamiento», establece una serie de medidas técnicas y organizativas que garantizan un nivel adecuado al riesgo que se ha definido. Entre ellas está la capacidad de garantizar la confidencialidad de los datos personales.

Entiende la Agencia que, de la documentación revisada, se desprendían indicios suficientes de que el despacho de abogados había vulnerado el artículo 32 RGPD porque se había producido una brecha de seguridad de sus sistemas. Por esta infracción, la AEPD considera que la sanción que correspondería sería de advertencia, instando al denunciado a que corrija los efectos de la infracción cometida y se adecue a las exigencias del artículo 32.

En cambio, por la infracción del artículo 5.1 f) del RGPD la sanción que corresponde es una multa por importe de 10.000 €. Y lo que es más importante, al ser una infracción del artículo 5 RGPD, la sanción podría llegar hasta los 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía. Una barbaridad!

En efecto, un disparate de sanción pero que pone de manifiesto la importancia que la protección de datos está adquiriendo cada día más. Convendréis conmigo que 10.000 € de multa por 8 correos es una sanción muy importante.

Y no es una sanción a una gran empresa sino a un modesto despacho de abogados. Es lo que se conoce como «aviso a navegantes». La protección de datos requiere que todos hagamos un esfuerzo para entender sus objetivos finales y pongamos las medidas necesarias para cumplir. Las reglas del juego están para seguirlas y esto no es una excepción.

Cuidaos!

Multas AEPD: ¿no hay dos sin tres?

por

El titular encaja perfectamente con la situación que estamos viviendo. Antes de ayer otra multa récord de la AEPD. Esta vez le ha tocado a CaixaBank, por un importe de 6 millones de euros, superando los 5 de BBVA de hace unos días.

A la sanción del BBVA nos referimos la semana pasada. Y todo lo que dijimos entonces es perfectamente aplicable al caso presente. En CaixaBank, como hicieron con BBVA, le han impuesto dos sanciones; una leve, de 2 millones de euros y una de grave, por un importe de 4 millones de euros.

La sanción leve corresponde a la vulneración de los artículos 13 y 14 del RGPD y la grave por saltarse el artículo 6 del Reglamento. Recordemos que el artículo 13 hace referencia a la información que se tendrá que facilitar cuando los datos personales se obtengan del interesado. Y que el 6 habla de la Licitud del tratamiento. Según la AEPD, CaixaBank incumple los requisitos establecidos para la prestación de un consentimiento válido, en tanto que manifestación de voluntad específica, inequívoca e informada tal como pide el RGPD. Incluso se menciona una cesión ilícita de datos personales a empresas del Grupo CaixaBank.

También, como en el caso del BBVA, la AEPD conmina a CaixaBank a que, en el plazo de 6 meses, adecue a la normativa las operaciones de tratamiento que realiza, la información que ofrece a sus clientes y los procedimientos que usa para recoger el consentimiento.

Dicho esto, algunas consideraciones sobre la marcha. De aquella multa a Facebook de 1,2 millones de euros el 2017 hemos pasado a las actuales. Parece que hay un salto cuantitativo muy importante. Y parece que a la Agencia no le tiembla el pulso, que ha perdido el miedo. Todavía estamos lejos de las multas de decenas de millones que están poniendo en Europa, pero estamos en camino.

Y lo que me parece muy relevante es que la AEPD obligue expresamente a las empresas a enmendar los procedimientos para adecuarlos a la normativa. Esto pone de manifiesto la voluntad de que las cosas se hagan bien hechas. Y estoy seguro de que estas modificaciones no serán nada sencillas dada la medida de las entidades afectadas.

¿Habrá una tercera sanción en esta línea? ¿Podría ser otro banco?

La resolución, de 177 páginas, habrá que leerla con atención. Pero sin duda, esto es un claro aviso a navegantes. Tendremos que estar atentos.

AEPD: Sanción récord y récord de sanciones

por

Aunque parezca que hace mucho tiempo, fue poco antes de Navidad cuando la AEPD impuso la sanción más alta de su historia: 5 millones de euros de multa al BBVA por vulnerar 3 artículos del RGPD. Y a esto hay que añadir que España es líder de la Unión Europea en sanciones a PYMES por incumplimientos del RGPD.

En realidad han sido dos infracciones. La primera, calificada de muy grave, de 3 millones de euros por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD), en cuanto a la fórmula para obtener el consentimiento de los clientes. La segunda, de carácter leve, por los datos obtenidos del interesado que suponen una vulneración de los artículos 13 y 14 del citado Reglamento.

Al mismo tiempo, la resolución impone una serie de medidas que obliga al BBVA a cambiar, en un plazo máximo de seis meses, su sistema de gestión de protección de datos en relación al deber de información y la obtención del consentimiento.

Sin querer entrar en más detalle de la resolución (puedes leerla íntegra aquí), si quiero aprovechar para hacer varias consideraciones.

Para empezar, el hecho más llamativo que supone el elevado importe de las sanciones. Parece que la AEPD, en línea con otras autoridades de control europeas, ha decidido imponer sanciones muy elevadas. Alguien puede decir que para una entidad como el BBVA se trata de una cantidad irrisoria. Pero no debemos olvidar que las sanciones pueden llegar hasta 20.000.000 de euros o el 4% de la facturación anual consolidada del grupo. Y parece que se ha puesto en marcha un camino más estricto.

Por otro lado, el daño reputacional para la entidad puede ser muy elevado. El eco mediático que ha tenido la noticia no ha pasado, estoy seguro, desapercibido para la sociedad, en general, y para los grupos de interés del banco (clientes, accionistas, etc.), en particular.

Y todo comenzó con un SMS publicitario enviado a un cliente que estaba dado de alta en Lista Robinson desde hacía tiempo. Fíjate tú quién lo iba a decir.

Y para completar el panorama sancionador, adelantaros que España lidera la UE en sanciones a PYMES. El número aún es modesto pero el incremento de multas del 2019 al 2020 ha sido del 252%. Pero de esto hablaremos en un próximo post en el que aportaremos datos de un estudio propio.

Conviene, en cualquier caso, que las empresas extremen sus precauciones.

¡Cuidaos!

Pijama con cuello de camisa para videoconferencias

por

Está claro que el COVID19 ha dado la vuelta al mundo que conocíamos hasta ahora. Tanto el personal como el profesional. Y junto a los legítimos esfuerzos de las personas y las empresas para adaptarse invirtiendo en tecnología y recursos de todo tipo para frente a las carencias que se han puesto de manifiesto, han aparecido iniciativas variadas, desde las más ingeniosas a las más frikies. En este último apartado podemos incluir la noticia que da título a este post.

Se trata de una iniciativa japonesa que ha diseñado una pijama con cuello de camisa para poder hacer videoconferencias. Está claro que el teletrabajo ha llegado para quedarse. Y también parece que tenemos que aprender muchas cosas.

Esta semana he impartido mi primera clase virtual a un grupo de abogados. Cabe decir que ha sido toda una experiencia. El tema fue «Entorno digital en el ejercicio de la abogacía» y tratamos de hacer una aproximación a la transformación digital de los despachos repasando ideas, criterios, tendencias, el futuro y, como es natural, las principales herramientas de que disponemos para abordar con solvencia este proceso.

La experiencia me ha provocado varias reflexiones que comparto con vosotros. En primer lugar es necesario invertir en tecnología. Parece una obviedad pero debemos tener, como mínimo, un buen ordenador (y quizás un segundo), la mejor cámara que nos podamos permitir, un segundo monitor grande, una tablet y unos auriculares inalámbricos. La tablet es imprescindible por si queremos tomar notas, por ejemplo. No podemos hacer alarde de dominar las tecnologías y tomar notas en un papel.

Pero necesitamos más. Disponer de una buena iluminación, preferiblemente  natural (prever los cambios de luz si la sesión es larga) o una artificial con suficiente potencia para que nos veamos bien. Y un fondo chroma para añadir un fondo virtual (solucionamos problemas de privacidad) y una buena silla para no terminar en dolor de espalda.

Y formación. No sólo en el uso de los dispositivos y las aplicaciones (que por cierto, deben estar licenciadas) sino también, y muy importante, en la comunicación con los demás participantes. Reglas de etiqueta, maneras de hacer, como expresarnos cuando tenemos limitaciones (no podemos gesticular, no podemos caminar como lo hacemos en una presentación física) y muchos otros detalles que sólo la práctica hará que llegan a dominar la técnica de la comunicación a distancia.

Y además, naturalmente, cumplir con la normativa de protección de datos.

Ah, y no olvides el pijama con cuello de camisa!

Cuidaos!

Imagen de  ReasonWhy

Tendencias digitales post Covid-19

por

Como hemos dicho en otras ocasiones, hay un antes y un después del Covid-19. Y dejaremos atrás muchas cosas -formas de hacer, comportamientos, hábitos, etc.- y abrazaremos de nuevos -nuevas tecnologías, nuevos intereses, nuevas sensibilizaciones, etc.- Y entre estas nuevas tendencias, las digitales estarán en primera línea. Vamos a ver algunas que, en nuestra opinión, serán las protagonistas

La primera, el Teletrabajo. Para muchos de nosotros, se acabaron los días en que estábamos ligados a un puesto de trabajo física -empresa, despacho, fábrica, …-. Ahora hemos constatado que podemos trabajar desde casi cualquier lugar. Y, lo que es más importante, que todos hemos visto las enormes ventajas de hacerlo así. Tanto empresarios como trabajadores nos hemos dado cuenta de que podemos ahorrar en costes (infraestructuras, desplazamientos, dietas, etc.) y que podemos conjugar mejor la vida profesional y la vida personal. Necesitaremos aprender muchas cosas y cambiar muchas otras pero la prueba que hemos hecho ha sido de un éxito indiscutible.

La segunda, Papel cero. Podemos aprovechar San Juan para quemar las impresoras. Ya se ha acabado la hora de imprimir cualquier documento, de hacer copias sin fin y de toda la logística que el uso del papel conlleva (papel, tinta, impresoras, mensajeros y un largo etcétera). En el mundo que viene no tenemos tiempo ni recursos para seguir utilizando el papel para nada. Si no es en digital, no será.

La tercera, las Redes sociales. Ya las conocíamos, unos mejor que los demás. Pero en este tiempo de confinamiento las hemos apreciado en toda su dimensión, tanto para facilitarnos la vida profesional como la personal. Más allá de compartir memes y vídeos de gatos virales, millones de usuarios las han descubierto como una herramienta legítima para trabajar, comerciar, estudiar, estar en contacto con compañeros y familiares y una larga relación de posibilidades. Todavía nos queda mucho camino que recorre pero parece evidente que de ahora en adelante empresas y particulares harán un uso intensivo en sus relaciones.

La cuarta, la Ciberseguridad. Toda la enorme ventaja que nos proporciona la tecnología, tiene un reverso en forma de amenazas potenciales a nuestra privacidad, a nuestras cuentas y cualquier actividad que hacemos en Internet. Esto significa que debemos protegernos, como lo hacemos en el mundo físico, si queremos sobrevivir. Debemos formarnos mínimamente (como quien quiere conducir, debe aprender primero) e invertir en herramientas actualizadas (software actualizado, VPNs, antimalware, copias de seguridad, gestor de contraseñas, etc.). Sólo así podremos convertirnos en verdaderos ciudadanos digitales del siglo XXI.

En cualquier caso, ¡cuidaos!

Nota: La llegada del 5G, la nueva tecnología móvil, supondrá un salto cuántico en la forma en que nos relacionamos en el mundo digital.

Revisión Textos Legales Web