Derechos y libertades digitales de las personas

Registro de Jornada y Datos biométricos, una relación difícil

por

El tratamiento de datos biométricos siempre comporta una dificultad añadida cómo es la de realizar la obligatoria Evaluación de Impacto (EIPD). La identificación biométrica implica el tratamiento de categorías especiales de datos para las cuales el Reglamento requiere garantías reforzadas. Las identificaciones más comunes de este tipo son la facial y la huella digital. De esta última y de las consecuencias de hacerlo mal hablamos en este post.

Y es que la AEPD acaba de sancionar a una empresa por implantar indebidamente un registro de jornada laboral mediante la huella digital. En la resolución se imputa a la reclamada que, al tratarse de datos de categoría especial y existiendo la obligación  de hacer una Evaluación de Impacto, incumplió el artículo 35 RGPD. Este artículo dice que cuando sea probable que el tratamiento, en especial si se usan nuevas tecnologías, puede comportar un alto riesgo para los derechos y libertades de las personas físicas, el responsable realizará, antes del tratamiento, una Evaluación de Impacto de las operaciones de tratamiento en la protección de datos personales.

En la Resolución, la AEPD considera que la empresa trataba datos de categoría especial, datos biométricos, pero la empresa insiste en que la tecnología empleada es la de verificación / autenticación biométrica que no entra en la categoría especial de datos y, en consecuencia, no exigiría la realización de EIPD. Los datos de identificación biométrica que permiten identificar de manera unívoca a una persona física serían las que obligarían a realizar la Evaluación, como es el caso que nos ocupa.

También señala la Resolución que existen medios menos intrusivos para mantener este tipo de registros y que la tecnología empleada no superaba el necesario juicio de proporcionalidad que se tenía que haber hecho y que hay sistemas alternativos como, por ejemplo, tarjetas identificativas.

Desde el punto de vista laboral, la Agencia considera que las empresas no tendrían que ampararse en el consentimiento como base legitimadora del tratamiento, salvo que se trate de casos excepcionales. Esto es porque no se parte de una posición de equilibrio entre las partes ya que en la relación laboral hay una relación de subordinación. El consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad. Además, tiene que ser posible retirarlo en cualquier momento, sin coste ni desventaja para el interesado, y se tienen que ofrecer alternativas. Por último, los interesados tienen derecho a la supresión de los datos cuando el consentimiento se ha retirado.

Como conclusión, decir que la tecnología de reconocimiento biométrico es muy invasiva, que hay que distinguir entre identificación biométrica (requiere Evaluación de Impacto) y autenticación biométrica, menos intrusiva, y que hay sistemas más proporcionados para llevar el control de la jornada horaria de los trabajadores. Importante tener esto en cuenta, porque la sanción asciende a 20.000 € para este caso concreto.

Como siempre, cuidaos!

¿Facebook? ¿Qué sorpresa?

por

Frances Haugen, de 37 años, que trabajaba como responsable de producto en el equipo de integridad cívica de Facebook (FB), fue entrevistada domingo por CBS. Dijo que los documentos que filtró demostraban que Facebook priorizaba repetidamente el «crecimiento por encima de la seguridad«. Facebook dijo que las filtraciones eran engañosas y que habían pasado por alto las investigaciones positivas realizadas por la compañía.

Cómo dice el titular, ¡qué sorpresa! Ya hace muchos años que FB es fuente de controversia por sus prácticas que se pueden calificar, como poco, de oscuras o de delictivas directamente. Recordamos el famoso escándalo de Cambridge Analytica con el uso de información de millones de usuarios sin su consentimiento para comercializarlos ilegalmente con terceros. Desde tratar a las personalidades de manera diferente según sesgos interesados hasta ser acusado de dar una respuesta “débil” a las preocupaciones de sus trabajadores sobre el tráfico de personas, pasando por afrontar demandas de sus propios accionistas o hacerse autopublicidad a través de los feeds de noticias de los usuarios para mejorar su imagen. Todo son ejemplos de mala praxis como poco. Whatsapp, compartiendo información de los usuarios con FB, y Instagram acusada por las adolescentes de hacerlas sentir mal con su cuerpo, tampoco se libran. 

Y, mientras tanto, el penúltimo susto lo hemos sufrido esta misma semana con la caída simultánea de toda la red de FB (además de FB, cayeron Whatsapp, Instagram, Messenger y Oculus) y la interrupción de los servicios que ha afectado a millones de usuarios. Incluso a trabajadores de FB que no se podían comunicar entre ellos y que tuvieron que usar herramientas alternativas de la competencia. Está claro que esto deber una cuestión del karma. No hay otra.

Y decía penúltimo susto porque, y todavía no ha acabado la semana, ayer se publicaban informaciones que aseguran que están a la venta datos personales de más de 1.500 millones de usuarios de FB en foros de hackers. Si la noticia se confirma, ya que siempre conviene ser cauteloso con este tipo de información, definitivamente, esta no es la semana de Marck Zuckerberg.

A propósito de todo esto, podemos hacer un par de reflexiones sobre la marcha. La primera, obvia, es que el modelo de negocio de FB necesita regularse. Parece evidente que la autoregulación por parte de las big-tech (no hablamos solo de FB) no funciona. Estas compañías han experimentado, en veinte años, unos crecimiento exponenciales que se los ha proporcionado unos poderes y una influencia (sobre usuarios, empresas y, incluso, gobiernos) extraordinarios, sustentados con unos rendimientos económicos fabulosos. No había estado nunca al alcance de nadie poder dirigirse simultánea e instantáneamente a miles de millones de habitantes con cualquier mensaje sin ninguna traba. Y, además, poder hacer con los datos personales, literalmente, lo que les interese en cada momento.

La segunda reflexión, también obvia, es que, en este estado de la cuestión y a modo individual, tenemos que poner nuestros medios para preservar nuestra privacidad. Conductas adecuadas, protocolos, herramientas y todo aquello que esté a nuestro alcance lo tenemos que poner en marcha por nuestra cuenta.

Como siempre, cuidaos!

La Agencia Española de Protección de Datos no se va de vacaciones

por

La Agencia Española de Protección de Datos (AEPD) no se va de vacaciones. Solo en el mes de julio ha iniciado 20 procedimientos sancionadores que suman un total de 2.719.000 €, destacando dos en particular, uno a Mercadona y el otro a Podemos. Y en lo que llevamos de agosto ya ha impuesto una sanción a un Club Náutico.

Concretamente al Club Náutico el Estació, y le han puesto 3.000 € de multa por que “la entidad ha publicado en su web la convocatoria y el Acta de la Junta Ordinaria del Club, exponiendo datos personales sin restricciones de acceso”. Debemos vigilar con este tipo de publicaciones, ya que probablemente sean prácticas que llevamos tiempo haciendo, pero que con la nueva normativa europea (ya no tan nueva) ahora pueden incurrir en delito. Es recomendable revisar todos estos tipos de procedimientos para adaptarlos a la normativa.

Otra sanción muy común es la que le han puesto a la Universidad a Distancia de Madrid (UDIMA). Un total de 3.000 € por enviar un correo publicitario a una persona que había solicitado previamente la supresión y oposición al tratamiento de todos sus datos por parte de UDIMA. Es importante revisar los procedimientos internos de la empresa de manera que, si un tercero hace una petición para suprimir el tratamiento de sus datos, se activen todos los mecanismos necesarios para que se cumpla dicha petición.

Por otro lado, los que parece ser que no aprenden son Telefónica y Caixabank, que vuelven a ser sancionados este mes de julio. Como ya comentamos en otro post, la AEPD es el órgano europeo que más sanciones ha puesto. Sin embargo, sus homólogos europeos, aunque han abierto menos expedientes sancionadores, los importes de las multas que han puesto son mayores.

La palma se la lleva Luxemburgo. La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) ha impuesto una sanción de 746 millones de euros a Amazon Europe Core al considerar que el tratamiento de datos por parte de la multinacional no cumplía con la normativa sobre protección de datos de la UE. Las leyes europeas de protección de datos contemplan la posibilidad de multar hasta con el 4% de los ingresos anuales a las compañías que vulneren las normas.

Por lo tanto, no podemos bajar la guardia, aunque sea verano, ya que la AEPD no lo hace tampoco. Vigilemos lo que publicamos en nuestro sitio web y revisemos los procedimientos internos respecto a las solicitudes de baja de tratamiento de datos por parte de un tercero. Pidamos ayuda si hace falta a un experto en protección de datos, ya que a la larga nos saldrá más barato que pagar la sanción, tanto a nivel económico como a nivel reputacional.

Como siempre, ¡cuidaos!

La nueva Carta de Derechos Digitales

por

El Gobierno español ha presentado la nueva Carta de Derechos Digitales, un documento que busca adaptar los derechos básicos consagrados en la Constitución a los entornos digitales por “no dejar a nadie atrás”. El documento, que no tiene carácter normativo, reconoce los nuevos retos que plantea el nuevo entorno digital y pretende sugerir e inspirar principios y políticas referidas a este.

En palabras del Presidente del Gobierno, la Carta quiere “reforzar” y “ampliar” los derechos de la ciudadanía, generar certeza en la sociedad ante la nueva realidad digital y aumentar la confianza de las personas frente la disrupción que representa la tecnología.

La Carta recoge seis categorías principales de derechos:

Derechos de libertad: en el entorno digital, identidad digital, protección de datos, Ciberseguridad, …

Derechos de igualdad: igualdad y no discriminación, acceso a Internet, menores, accesibilidad universal, herencia digital, …

Derechos de participación y de conformación del espacio público: neutralidad de Internet, libertad de expresión e información, información veraz, educación digital, relación con las Administraciones, …

Derechos del entorno laboral y empresarial: en el ámbito laboral, la empresa en el entorno digital.

Derechos digitales en entornos específicos: acceso a datos con fines de archivo en interés público, investigación científica o histórica, entre otras, desarrollo tecnológico, protección de la salud, derechos ante la inteligencia artificial, utilización de las neurotecnologías, …

Garantías y eficacia: derechos en los entornos digitales, Eficacia.

La Carta que, como decíamos al comienzo, no es normativa, se entiende sin perjuicio del ordenamiento jurídico vigente, en particular en materia de derechos, las disposiciones del cual serán de aplicación: LOPDGDD, la reciente Ley de Trabajo a Distancia, la LSSICE, la Ley de Telecomunicaciones, la de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, etc.

Como era de esperar, se han producido diferencias importantes entre los componentes del grupo de trabajo en varios de los aspectos tratados. Pero al menos se ha consensuado un texto que, sin duda, es un paso más en la buena dirección.

Aprovechamos para recordar aquí, por último, que el marzo pasado se cumplieron dos años de la presentación de la pionera “Carta de Barcelona por los Derechos de la Ciudadanía en la era digital”, proyecto impulsado por el Ilustre Colegio de la Abogacía de Barcelona, liderado por la actual decana Mª Eugènia Gay y el diputado de la Junta de Gobierno y responsable de la Comisión de Transformación Digital, Rodolfo Tesone.

La «Carta» nació con el objetivo de establecer las bases para un acuerdo global que permita garantizar que los adelantos tecnológicos -que ayudan a mejorar la calidad de vida de las personas- se lleven a cabo respetando los derechos humanos esenciales y los principios democráticos de las sociedades.

Es indudable que nos enfrentemos a retos inéditos y el mundo jurídico tiene que ser valiente y proactivo (y rápido) para darle a la sociedad las soluciones que necesita.

Como siempre, cuidaos!

IA, Marketing y Protección de Datos

por

IA, Marketing y Protección de Datos

La inteligencia artificial (IA), en contraposición a la natural, se la inteligencia llevada a cabo por las máquinas. Marvin Minsky asigna a la inteligencia artificial la “realización de sistemas informáticos con un comportamiento que en el ser humano calificaríamos de inteligente”. Está destinada a resolver los tipos de problemas que, hasta ahora, estaban reservados a los seres humanos.

Las aplicaciones cotidianas de la IA son cada vez más frecuentes: cuando hablamos con un asistente de voz (Alexa) que aprende de nuestros gustos, consultamos una ruta en tiempo real en Google Maps, aplicaciones de streaming como Spotify o Netflix aprenden de nuestras preferencias y de nuestra actividad para hacernos recomendaciones. Y que decir del inefable Facebook que, un estudio de La Universidad de Stanford concluyó que la red social podía juzgar nuestra personalidad mejor que los amigos o la familia, e incluso, mejor que nosotros mismos. Todo a partir de un determinado número de likes (y no demasiados).

Cómo es natural, la IA tiene una infinidad de campos de trabajo. Uno de ellos, y uno de los más importantes, es el marketing digital. Entre las capacidades necesarias para desarrollar una estrategia de marketing digital, hay una imprescindible que es la capacidad analítica. Y aquí la IA resulta imprescindible para, por un lado, conocer las motivaciones, los objetivos, las aspiraciones y el comportamiento de los usuarios y, por el otro, el análisis de los resultados de todas las actividades de marketing que llevamos a cabo.

La IA nos puede ayudar, por ejemplo, en el análisis predictivo (podemos avanzarnos a las necesidades del usuario para ofrecerle productos y servicios incluso antes de que sea consciente); en la gestión de clientes (CRM) para gestionar leads (clientes potenciales) y convertirlos, vía embudo de ventas, finalmente en clientes; naturalmente, podemos usar IA para publicidad digital nativa usando cookies (o píxeles de FB), chatbots y técnicas de Machine Learning. Incluso nos puede ayudar en la generación de contenidos gracias a la tecnología de Procesamiento del Lenguaje Natural (PLN).

Y todo esto de la IA parte de datos, de nuestros datos, para dar resultados. Y, como son nuestros datos, ha generado, como dice la AEPD, muchas dudas entre usuarios, especialistas, autoridades y la industria en relación a aspectos de cumplimiento normativo, respecto a los derechos de los interesados y seguridad jurídica de todos los intervinientes.

No hay duda de los inmensos beneficios que nos reporta ya la IA y los que nos reportará en el futuro. Pero hace falta que tengamos presente que no todo vale y que nuestra privacidad es la última frontera de la tecnología. Traspasada esta, el futuro será muy complicado.

Cuidaos!

Por un Internet seguro

por

A finales de enero tuvo lugar el Día Internacional de la Protección de Datos con el objetivo de promover el conocimiento entre los ciudadanos sobre cuáles son sus derechos y responsabilidades en materia de protección de datos. Este día está impulsado por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los estados miembros de la Unión Europea.

Los Días Internacionales son un buen mecanismo para alertar y concienciar a los ciudadanos de temas importantes que nos afectan a todos. Conocemos días por temas sanitarios, cuestiones sobre los derechos humanos, el racismo, el feminismo y tantas otras causas nobles. Pues bien, la Protección de Datos tiene su día, 28 de enero, y el Internet Seguro, también: 9 de febrero. Del primero hablamos hace unos días (ver post) y del segundo hablaremos hoy.

El Día de Internet Seguro (“Safer Internet Day”) es un acontecimiento que tiene el apoyo de la Comisión Europea y que tiene como objetivo promover un uso seguro y positivo de las tecnologías digitales, en particular, entre niños y jóvenes. No tan solo se pretende la creación de un Internet más seguro, sino mejor, para convertirlo en un espacio donde todos hagamos un uso responsable, respetuoso, crítico y creativo de la tecnología. Y dirigido en especial a niños y jóvenes, un colectivo muy vulnerable y que resulta imprescindible formarlo como futuro pilar de la sociedad.

Referente en esta materia es INCIBE (Instituto Nacional de Ciberseguridad) y su portal is4k, INTERNET SEGURA FOR KIDS. Sus programas, ayudas y campañas son imprescindibles para que todos aprendamos a navegar más seguros en Internet. INCIBE trabaja para afianzar la confianza digital, elevar la Ciberseguridad y la resiliencia y contribuir al mercado digital de forma que se impulse el uso seguro de ciberespacio en España.

Coincidente con el Día de Internet Segura, Microsoft ha publicado su informe anual que titula “Índice de Civismo En línea” en el portal dedicado a promover el civismo digital. El titular más llamativo del estudio dice que España encabeza, a nivel mundial, los fraudes, las estafas y engaños en línea. Para ser nuestra primera inclusión en el estudio, los resultados no son muy esperanzadores y tienen bastante margen de mejora. Dice también el estudio que el civismo en Internet ha empeorado desde el comienzo de la pandemia y que un 34% asegura haber recibido contacto no deseado a Internet y un 26% afirma haber sido víctima de “sexting” (El sexting es una práctica que consiste en enviar mensajes con contenido erótico a través de dispositivos tecnológicos de manera voluntaria).

Conviene concienciarnos sobre los riesgos que comporta el mal uso de la tecnología. Todo lo beneficioso que resulta en tantos ámbitos, imprescindibles a estas alturas, se nos puede volver en contra por ignorancia o exceso de confianza. No dejemos que pase.

Cuidaos!

‘Efecto Bruselas’: puñetazo de la UE sobre la mesa

por

En pocos días se han reunido dos hechos que guardan una estrecha relación y que son de suma importancia para los ciudadanos europeos y, me atrevo a decir, para muchos ciudadanos del mundo. Me estoy refiriendo al libro ‘El efecto Bruselas’ de Anu Bradford y, naturalmente, la anulación del acuerdo conocido como Privacy Shield con Estados Unidos.

Bradford sostiene que es Europa -y no Estados Unidos o China- quien domina el mundo. ¿Cómo? Gracias al Efecto Bruselas o, lo que es lo mismo, la externalización involuntaria de regulaciones a través de mecanismos globalizadores del mercado. Según la autora, este efecto acaba influyendo más en la vida de muchos habitantes del planeta que el poder económico o militar de los gigantes americanos y chinos.

Europa es un mercado único muy envidiable, entre otras cosas, por su gran poder adquisitivo. Y las empresas internacionales asumen las estrictas leyes de la UE para poder acceder y beneficiarse. Y estas empresas imponen estas reglas a sus filiales en todo el mundo con el fin de uniformar los procedimientos, aprovechar las economías de escala y reducir costes.

Y un ejemplo que avala la tesis es el Reglamento General de Protección de Datos (RGPD) que entró en vigor hace poco más de dos años. Ya escribimos entonces que era una legislación con vocación ‘universal’ porque que afectaba a los ciudadanos de la UE y que las empresas que quisieran tratar datos personales -imprescindibles para el tráfico económico- estaban obligadas a cumplir con la normativa. Cualquier empresa, de cualquier parte del mundo, sin excepción.

Estados Unidos ha regulado, desde siempre, de forma muy laxa la protección de datos y siempre a remolque de la UE. Hasta tal punto que Europa acaba de anular el acuerdo denominado Privacy Shield. Se trata de un acuerdo firmado hace cuatro años que permitía transferir datos personales de ciudadanos de Estados miembros europeos en Estados Unidos. La decisión de invalidar el acuerdo se basa en que la UE no confía en que la información sea tratada con las garantías pertinentes en términos de privacidad.

De las consecuencias de la decisión -tanto con respecto a las grandes tecnológicas americanas o para miles de pymes- hablaremos en otra ocasión. Hoy se trata de poner de manifiesto el puñetazo sobre la mesa de la UE, haciendo visible el Efecto Bruselas ‘en materia de protección de datos. Y no será el último.

Revisión Textos Legales Web