Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

IA, Marketing y Protección de Datos

por

IA, Marketing y Protección de Datos

La inteligencia artificial (IA), en contraposición a la natural, se la inteligencia llevada a cabo por las máquinas. Marvin Minsky asigna a la inteligencia artificial la “realización de sistemas informáticos con un comportamiento que en el ser humano calificaríamos de inteligente”. Está destinada a resolver los tipos de problemas que, hasta ahora, estaban reservados a los seres humanos.

Las aplicaciones cotidianas de la IA son cada vez más frecuentes: cuando hablamos con un asistente de voz (Alexa) que aprende de nuestros gustos, consultamos una ruta en tiempo real en Google Maps, aplicaciones de streaming como Spotify o Netflix aprenden de nuestras preferencias y de nuestra actividad para hacernos recomendaciones. Y que decir del inefable Facebook que, un estudio de La Universidad de Stanford concluyó que la red social podía juzgar nuestra personalidad mejor que los amigos o la familia, e incluso, mejor que nosotros mismos. Todo a partir de un determinado número de likes (y no demasiados).

Cómo es natural, la IA tiene una infinidad de campos de trabajo. Uno de ellos, y uno de los más importantes, es el marketing digital. Entre las capacidades necesarias para desarrollar una estrategia de marketing digital, hay una imprescindible que es la capacidad analítica. Y aquí la IA resulta imprescindible para, por un lado, conocer las motivaciones, los objetivos, las aspiraciones y el comportamiento de los usuarios y, por el otro, el análisis de los resultados de todas las actividades de marketing que llevamos a cabo.

La IA nos puede ayudar, por ejemplo, en el análisis predictivo (podemos avanzarnos a las necesidades del usuario para ofrecerle productos y servicios incluso antes de que sea consciente); en la gestión de clientes (CRM) para gestionar leads (clientes potenciales) y convertirlos, vía embudo de ventas, finalmente en clientes; naturalmente, podemos usar IA para publicidad digital nativa usando cookies (o píxeles de FB), chatbots y técnicas de Machine Learning. Incluso nos puede ayudar en la generación de contenidos gracias a la tecnología de Procesamiento del Lenguaje Natural (PLN).

Y todo esto de la IA parte de datos, de nuestros datos, para dar resultados. Y, como son nuestros datos, ha generado, como dice la AEPD, muchas dudas entre usuarios, especialistas, autoridades y la industria en relación a aspectos de cumplimiento normativo, respecto a los derechos de los interesados y seguridad jurídica de todos los intervinientes.

No hay duda de los inmensos beneficios que nos reporta ya la IA y los que nos reportará en el futuro. Pero hace falta que tengamos presente que no todo vale y que nuestra privacidad es la última frontera de la tecnología. Traspasada esta, el futuro será muy complicado.

Cuidaos!

Data Pro Quo

por

Quid pro quo es una expresión latina, de uso muy frecuente en el ámbito jurídico, que podríamos traducir como “una cosa por otra”. Se refiere a lo que se da a cambio de otra cosa.

Aprovechando el juego de palabras, la empresa Shackleton ha presentado Data Pro Quo, la primera máquina vending en la que se paga con datos. Sí, los productos no se pagan con dinero sino con nuestros datos. Partiendo del concepto de que los datos son la nueva moneda, la empresa lo ha llevado a la práctica de forma literal.

Ya estamos acostumbrados a cambiar datos por servicios, aunque hasta ahora lo hacíamos de forma implícita. Lo hacemos cada día una docena de veces: cuando queremos entrar en una página web (recordemos las cookies), cuando queremos descargar un documento o un ebook, cuando nos instalamos una app y tantos otros ejemplos.

Ya hace tiempo que perdimos la inocencia. Al principio pensábamos que los productos y servicios en línea eran gratuitos. Llenábamos formularios a diestro y siniestro, bajábamos cualquier tipo de infoproducto como si no hubiera un mañana y, por supuesto, instalábamos apps cada día (¿habéis contado cuántas apps tenéis instaladas en el móvil?). Por no hablar de las redes sociales que son verdaderas yonquis de los datos.

Porque todo este capital de datos que corre por Internet requiere una colosal infraestructura formada, entre otras, por centenares de miles de servidores, millones de kilómetros de fibra óptica y una gestión brutal de la energía necesaria por que nosotros podamos enviar un whastapp. Y esto tiene un coste muy elevado.

Con Data Pro Quo nos encontramos con la primera propuesta honesta de intercambio de datos por producto. El funcionamiento es el mismo que cualquier máquina de vending en la que el usuario elige el producto que quiere comprar. Y para pagar, en vez de dinero o tarjeta (no se admite otro forma de pago), tiene que responder a una serie de preguntas empezando por el cargo (la máquina está destinada a entornos corporativos) y, en función del perfil, aparecen diferentes cuestiones que, una vez contestadas, dan acceso al producto deseado.

Además de honesta y creativa, la propuesta es inteligente en el sentido que considera al usuario como una persona formada, que valora su privacidad y a quien, de forma abierta, se le puede proponer el intercambio de datos por producto.

Como siempre, tendremos que estar atentos a la gestión de los datos, una vez recogidos, desde el punto de vista de la privacidad y el control que haga la empresa sobre el riesgo de un eventual escape de datos del servidor interno. Pero esto será tema de otro post.

Cuidaos!

Por un puñado de dólares …

por

Este es el título de una famosa película de 1964, en la que el prolífico director de cine Sergio Leone dirigía al inefable Clint Eastwood en un spaghetti western que se convirtió en un clásico del género. No os comentaré la cinta, solo aprovecho el título para haceros la reflexión de que a menudo hay ahorros que se convierten en disgusto.

Recientemente, la Agencia Española de Protección de Datos (AEPD) publicó su Memoria AEPD 2020. El primer titular es que, durante el 2020, se presentaron un total de 10.324 reclamaciones. Casi 50 diarias, en día laborable. Y podríamos añadir cerca de un millar si añadimos los casos transfronterizos.

Las reclamaciones más frecuentes tienen que ver con servicios de Internet, inclusión indebida en ficheros de morosos, videovigilancia, recepción de publicidad y reclamación de deudas. Por sectores, los más sancionados son las entidades financieras y acreedoras, Administraciones Públicas y las empresas de telecomunicaciones.

También se han realizado 29 intervenciones con carácter de urgencia por la retirada de contenidos sexuales o violentos, difundidos por Internet, asociadas al Canal prioritario, con un porcentaje de éxito superior al 86%.

Es importante destacar el hecho de que, a pesar de la pandemia, la actividad de la Agencia se ha mantenido, poniendo de manifiesto que la implantación del teletrabajo no ha disminuido la capacidad de trabajo del Organismo.

Os pueden parecer que las reclamaciones son muchas o pocas. A mi parecer, son suficientes para reflexionar sobre si merece la pena o no que, “por un puñado de euros”, nos pongamos en manos de profesionales que nos ayuden a cumplir con la ley.

Porque siempre decimos que el coste de la adecuación de la empresa es un coste cierto pero que el coste de no adecuarse es imprevisible. El primero se puede imputar ordenadamente en la contabilidad de la empresa mientras que el segundo nos puede hacer desestabilizar la cuenta de resultados y, lo que todavía es más importante, afectar negativamente a nuestra reputación. Y esta última cuesta mucho de recuperar.

Adecuar la empresa a la normativa de protección de datos genera confianza entre empleados (son los primeros que sufren la desconfianza), a clientes y proveedores (¿somos una buena empresa pero no cumplimos con la normativa de protección de datos?),  y administraciones (si queremos, por ejemplo, licitar). Hagamos las cosas bien hechas. Cumplamos con la normativa y evitemos sanciones y daño reputacional.

Cuidaos!

Posiblemente la broma telefónica más cara del mundo

por

 

La Agencia Española de Protección de Datos publicó el pasado martes la Memoria anual del ejercicio 2020. Durante dicho ejercicio, se presentaron un total de 10.324 reclamaciones al organismo.

Las reclamaciones planteadas con mayor frecuencia el pasado 2020 hacen referencia a:

  • Servicios de internet (16%)
  • Inserción indebida en ficheros de morosidad (15%)
  • Videovigilancia (12%)
  • Recepción de publicidad (7%)
  • Reclamación de deudas (6%)

Vemos como las reclamaciones relacionadas con servicios de internet encabezan la lista, con un incremento del 5% respecto al año pasado.

Un ejemplo a destacar es el procedimiento instruido a Miraclia por “la utilización de los datos personales del reclamante para hacerle una broma mediante una llamada telefónica a su móvil, sirviéndose para ello de una app”. La llamada fue grabada y difundida a terceros sin el consentimiento del afectado. Pues bien, la broma costó a Miraclia dos sanciones de 20.000 € cada una, es decir 40.000 €. Añadiéndole el daño reputacional a la marca, posiblemente sea la broma telefónica más cara del mundo. Además, Miraclia tuvo que adecuar sus tratamientos a la normativa de protección de datos.

Por último, en 2020 la Agencia ha dictado 393 resoluciones sancionadoras, lo que supone un incremento del 16% respecto al año anterior. En este caso, las áreas más frecuentes con expedientes sancionadores son videovigilancia seguida de servicios de internet. Sin embargo, los sectores que se llevan la palma en cuanto a importe de sanciones son el sector bancario y el de telecomunicaciones, que solo este 2020 entre los dos alcanzan los 8 millones de euros en sanciones, un incremento del 27% respecto al 2019.

Vemos pues que, a pesar de la pandemia, la AEPD sigue actuando con firmeza, y no le tiembla el pulso a la hora de sancionar. Y todo apunta a que la tendencia en número de sanciones siga creciendo en los próximos años.

Cuidaos.

¡Cuidado si publicas fotos de un tercero sin consentimiento!

por

Si nos dedicamos al marketing y a la comunicación tenemos que tener especial cuidado con la utilización y publicación de imágenes de terceros. Al margen de vulnerar los derechos de imagen, nos podemos encontrar con sanciones importantes por parte de la Agencia Española de Protección de Datos (AEPD).

En efecto, la Agencia ha sancionado con 9.000€ al responsable de una web por publicar material fotográfico y otros datos personales de un usuario, sin su consentimiento. Además, el usuario reclamó y no obtuvo respuesta.

Según la AEPD, y “en conformidad con las evidencias de que se dispone”, se considera que los hechos son constitutivos de dos infracciones:

  • Una primera infracción por vulneración del artículo 6 RGPD por el tratamiento sin consentimiento
  • Una segunda por vulneración del artículo 13 RGPD porque la Política de Privacidad de la página web carecía de los requisitos exigidos en cuanto al tratamiento de datos de carácter personal

Ya hemos hablado en diferentes ocasiones de la importancia de estar legitimados para tratar datos personales. El Reglamento recoge varias bases de licitud como puede ser la ejecución de un contrato, una obligación legal, por interés público, para proteger intereses vitales del usuario, por interés legítimo del responsable y, naturalmente, por el consentimiento del interesado (ver posts sobre el tema).

Entiendo que no hay que insistir en la cuestión. Si no estamos legitimados, no podemos tratar datos personales. Y punto.

Respecto a la segunda cuestión, los textos legales web, también hemos hablado (ver posts). Como responsables, tenemos obligación de informar al afectado del tratamiento de sus datos personales, tal como disponen los artículos 13 y 14 RGPD y el 12 LOPDGDD, y poner a su disposición los medios para ejercer, de forma accesible, los derechos que le corresponden.

En consecuencia, la AEPD impone, por la primera infracción, una multa de 5.000€ y de 4.000€ por la segunda. Además de los daños reputacionales que se pueden sufrir, nunca conviene recibir sanciones económicas por no haber hecho las cosas bien hechas.

Y otro día hablaremos de los derechos de imagen personal. Recordemos que el derecho a la imagen es un derecho fundamental recogido en nuestra Constitución. Dejando de lado las excepciones que marca la ley, siempre tenemos que tener el consentimiento de la persona por la captación, reproducción o publicación.

Como siempre, cuidaos!

Imagen Pixabay

He leído y acepto …

por

Así acaban (los que cumplen) los formularios web, justo antes de pulsar el botón de Enviar. La frase completa es “He leído y acepto la Política de Privacidad” e incluye un casilla para marcar (si no se marca, no se puede enviar el formulario) y un enlace para que el usuario pueda navegar cómodamente a ver las condiciones en que presta su consentimiento. Y prestarlo, o no, en función de estas condiciones.

El consentimiento es una de las bases de licitud de tratamiento más importante y más ampliamente utilizada de las que reconoce el arte. 6.1 RGPD. Hay otros como la ejecución de un contrato (por ejemplo, de servicios), por obligación legal (si lo pide un juez) o el interés legítimo, verdadero cajón de sastre para meter permisos de tratamiento de lo más variado.

Los usuarios somos cada día más conscientes de la importancia de ejercer el control sobre nuestros datos personales. Pero, ¿sabemos realmente lo que aceptamos cuando prestamos el consentimiento? ¿De verdad leemos la Política de Privacidad, las Condiciones de Uso o de Contratación? O, puestos a pedir, ¿leemos la Política de Cookies?

Y lo que es más importante, además de leer, ¿entendemos lo que dice? ¿Somos capaces de anticipar las consecuencias de nuestra decisión? ¿Estamos manifestando una voluntad en base a una decisión racional e informada que manifestamos de forma libre y espontánea? Porque así lo exige el Reglamento.

La cuestión no es sencilla de resolver. A pesar de que con el RGPD las condiciones del consentimiento se han endurecido, la realidad es que al final del día tenemos que prestar el consentimiento varias veces, desde comprar por internet hasta ver las noticias de un diario, pasando por infinidad de situaciones cotidianas (por ejemplo, actualizaciones de apps que renuevan las condiciones) que nos agotan y nos hacen optar por marcar la casilla del consentimiento sin cumplir las condiciones.

Esto sin contar que en la red encontramos, todavía, muchos formularios que no tienen Política de Privacidad o que, si la tienen, no es clara, es larga y farragosa con la letra muy pequeña y, en muchas ocasiones, las finalidades del tratamiento no se corresponden con la realidad o se incluyen cláusulas inaceptables por el usuario.

Todos tenemos claro que nuestros datos son muy valiosos para empresas que los monetizan compartiéndolos o vendiéndolos a intermediarios que crean perfiles y usando técnicas de Big Fecha, Inteligencia artificial y otras tecnologías punteras saben, cada día más y mejor, cuáles son nuestros hábitos, intereses y preferencias.

Vigilemos a quien damos nuestro consentimiento y hagamos lo posible para leer y entender las políticas de privacidad. Es importante.

Otro día explicaremos cómo leer y entender un texto legal de protección de datos.

Mientras tanto, cuidaos!

¡Sí, necesitas un Aviso legal en tu web!

por

Son preguntas recurrentes. ¿Qué es el Aviso legal? ¿Necesito uno para mi web? ¿Tiene que ver con la Protección de Datos? Quiero aprovechar este post para aclarar las dudas y explicar cuál es su obligatoriedad, el contenido mínimo y su función. Ponemos en marcha así una serie de artículos que cubrirán los diferentes aspectos que tenemos que tener en cuenta para que nuestra web sea completamente legal.

¿Qué es el Aviso legal?

El concepto de Aviso legal se refiere a la advertencia legal que se incluye en la mayoría de webs y que recogen, por un lado, la responsabilidad del propietario de la web y, del otro, los derechos del visitante del lugar.

¿Por qué es obligatorio disponer de un Aviso legal?

Porque así lo dice la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

¿Cuándo es obligatorio tener un Aviso legal?

Está obligada a exhibir el Aviso legal toda web de carácter corporativo, es decir, que pertenezca a una empresa o a un profesional, que tenga o pretenda tener actividad económica o que esté relacionada con algún tipo de actividad profesional.

Entran dentro de estos supuestos a) las webs o blogs corporativos que tienen como finalidad ofrecer, divulgar o promocionar algún tipo de actividad profesional; b) todas aquellas webs dedicadas al comercio electrónico, tiendas en línea, e-commerce que ofrezcan productos o servicios y c) sitios web que incluyan algún tipo de publicidad.

¿Qué tiene que incluir el Aviso legal?

  • Nombre o denominación social, NIF/CIF y datos de contacto (domicilio, correo, etc.)
  • Inscripción en el Registro Mercantil, si la empresa está registrada
  • Autorización administrativa si la actividad lo precisa
  • Datos del Colegio Profesional si la actividad está regulada
  • Términos de uso de la web para regular derechos y responsabilidades de los usuarios
  • Referencia a los derechos de Propiedad Intelectual, tanto propios como de terceros
  • Responsabilidad y garantías del titular de la web
  • Fecha, versión y vigencia de la información y posibles cambios

¿Dónde tengo que poner el Aviso legal en mi web?

Se tiene que poner un enlace al pie de todas las páginas de la web. El objetivo es que esté siempre disponible para consultar. El contenido tiene que ser solo el propio Aviso legal.

¿Y si no cumplimos?

Pues, como siempre, estaremos expuestos a sanciones, añadiremos el daño reputacional y no generaremos confianza entre nuestros clientes y usuarios.

¡Cuidaos!

¡No perdamos los papeles!

por

Recientemente, la Agencia Española de Protección de Datos (AEPD) ha sancionado a un abogado que tiró documentos con datos personales de varios clientes junto a un contenedor de basura. Entre los papeles se encontraban escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNIs de clientes, testamentos y otros documentos con datos personales.

La Agencia considera que el abogado ha infringido el artículo 32.1 del Reglamento General de Protección de Datos (RGPD) que hace referencia a la Seguridad del tratamiento y tipificada en el artículo 83.4.a. Aun así, la Agencia solo impone una simple amonestación porque considera que la multa administrativa que podría corresponder por la infracción sería desproporcionada por el reclamado. Solo hay que recordar que la sanción establecida por el RGPD en este artículo puede llegar a los 10.000.000€ o, en el caso de empresa, una cuantía equivalente al 2% del volumen total de negocio anual global del ejercicio financiero anterior, optando por la de mayor cuantía. No es ninguna broma.

Según la AEPD, la responsabilidad del letrado viene derivada de la quiebra de seguridad en el tratamiento de los datos personal bajo su responsabilidad. Y esto tiene mucho que ver con no haber implantado de forma efectiva las medidas de seguridad –legales, técnicas y organizativas– adecuadas para garantizar el nivel de seguridad apropiado. Así se podría haber asegurado la confidencialidad de los datos en caso de un incidente como es el caso.

Este incidente se podría haber evitado si el despacho hubiera dispuesto de una Política de Eliminación de la documentación y los protocolos correspondientes. Así, para la destrucción de papel se puede, desde utilizar una simple destructora con las características adecuadas hasta la contratación del servicio a una empresa especializada en la destrucción de documentación, homologada (Norma UNE EN-15713) que certifique el proceso. Una medida de seguridad sencilla, al alcance de todo el mundo que nos puede ahorrar un disgusto, sobre todo a nivel reputacional.

El Reglamento no tiene un listado de medidas a aplicar sino que, en el marco de la responsabilidad proactiva del responsable, este tendrá que aplicar aquellas medidas que sean proporcionadas y adecuadas al riesgo asignado al tratamiento en cuestión. Y estas medidas tienen que tener en cuenta varios factores como son los costes de implementación, el estado de la técnica, al contexto, el alcance y las finalidades del tratamiento, entre otros.

En fin. Un abogado no puede perder los papeles. ¡Tú tampoco!

Cuidaos!

Nuevo Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria bajo el RGPD

por

A finales del año pasado, la AEPD aprobó el primer Código de Conducta bajo el RGPD. Este Código es el de Tratamiento de Datos en la Actividad Publicitaria. Probablemente eclipsado por otras novedades como la entrada en vigor del nuevo Código de Conducta sobre el Uso de Influencers en la Publicidad (que ya tratamos en este post: “Inflluencer”: aquí tienes tu Código), el sector no le ha prestado suficiente atención. Así que en las próximas líneas haremos un resumen de las novedades y repasaremos los puntos clave.

Digamos, de entrada, que el contenido principal del Código es el establecimiento de un sistema extrajudicial para tramitar reclamaciones sobre protección de datos y publicidad, ágil, eficaz y gratuito para los consumidores. La elaboración de los Código de Conducta está recogida en los artículos 40 y 41 del RGPD. El RGPD establece que las autoridades de control tienen que promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los diferentes sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas .

En la primera parte, el Código revisa los principios de tratamiento de datos que la industria publicitaria tiene que cumplir, en especial hace referencia a las medidas de protección de datos desde el diseño y por defecto y el principio de minimización. También recuerda la obligación de informar a los interesados del tratamiento de sus datos con fines de marketing, que el consentimiento se tiene que dar separado e inequívocamente o que el interés legítimo exige una ponderación. También recuerda la necesidad de consulta previa a los sistemas de exclusión publicitaria si no hay consentimiento expreso.


Quizás uno de los aspectos más relevantes del Código es el nuevo sistema extrajudicial de resolución de reclamaciones de protección de datos y publicidad. El procedimiento que se establece permite que los usuarios que lo deseen presenten reclamaciones gratuitamente contra las empresas adheridas al Código cuando entiendan infringidos sus derechos de protección de datos en el marco de una actividad publicitaria, como por ejemplo; la recepción de publicidad no deseada, el ejercicio de derechos relacionados con la publicidad (como el de oposición), y el tratamiento de datos en promociones publicitarias o mediante cookies publicitarias, entre otras.

Y para las empresas, ofrece un mecanismo de resolución de reclamaciones especializado, ágil, de bajo coste y eficaz, alternativo a la intervención administrativa. Y se considera una medida de responsabilidad proactiva y puede ser una atenuante en caso de eventuales sanciones.

A este Código se pueden adherir cualquiera de las entidades de la industria publicitaria. Es una herramienta útil en materia de Compliance que ayudará a las empresas a mejorar su reputación ante el consumidor, aumentando su confianza. Y ayudará a los consumidores a mantener su privacidad bajo control.

Cuidaos!

Revisión Textos Legales Web