Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Tres años ya de RGPD

por

Esta semana se han cumplido tres años desde que el Reglamento General de Protección de Datos entró en aplicación. Repasamos en este post algunos de los hitos más importantes y haremos un poco de balance que, como siempre, tendrá luces y sombras.

El RGPD entró en vigor el 2016 pero, gracias a una moratoria, su aplicación no empezó hasta mayo de 2018. La Protección de Datos personales no era una novedad en nuestro país, la LORTAD es de 1992 y la LOPD de 1999, pero no cabe duda que la entrada en vigor del RGPD supuso un cambio de paradigma en el tratamiento de los datos personales por parte de las empresas en España. Muchos descubrieron, a partir de aquel momento, el derecho fundamental a la privacidad o, lo que es lo mismo, garantizar a las personas el control sobre sus datos personales.

Ahora hablamos de un modelo preventivo (no reactivo por denuncias) con responsabilidad proactiva, donde se ha establecido la privacidad por defecto, desde el diseño, y todo el enfoque de las obligaciones de los responsables se tiene que hacer basado en el enfoque del riesgo.

Consentimiento reforzado, nuevas cláusulas informativas, nuevos contratos de encargado de tratamiento, medidas de seguridad (violaciones de seguridad), nuevos derechos de los interesados y figuras como el Delegado de Protección de Datos son algunas de las novedades que nos trajo el RGPD y que ahora nos resultan, además de familiares, imprescindibles en nuestro día a día en la materia.

Y las sanciones, no nos olvidamos, son considerables. España es el país que más sanciones ha puesto a Pymes en el marco europeo. Y, como siempre, al margen del importante coste económico, lo más preocupante tiene que ver con la pérdida de reputación de la empresa. Este es el intangible más apreciado y que tenemos que preservar a toda costa.

Este tiempo no ha estado exento de dificultades. Solo hay que recordar la anulación del Acuerdo Privacy Shield que daba cobertura jurídica a las transferencias de datos entre Europa y los Estados Unidos. O las modificaciones en la regulación de las cookies que, todavía hoy, incumplen muchas empresas.

Y no olvidemos la tecnología que avanza a pasos agigantados, mientras que la normativa le sigue al ritmo que puede. Con la pandemia hemos visto el auge de las videoconferencias y el teletrabajo con sus dificultades para preservar la privacidad. Y otros, como por ejemplo, el reconocimiento facial o de voz, la Inteligencia Artificial (IA), el Big Data o el Blockchain que empezaban a aparecer o directamente no existían cuando empezaron los trabajos del Grupo de Trabajo del artículo 29, allá por el 1996.  

Un balance, al fin, bastante positivo en general. Pero queda mucho camino por recorrer.

Cuidaos!

Claves sobre la Protección de Datos en el trabajo

por

La Agencia Española de Protección de Datos ha publicado una guía sobre protección de datos y relaciones laborales. El documento encara cuestiones como la consulta del empleador en las redes sociales, los sistemas  internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de datos de las víctimas de acoso al trabajo, los de las mujeres supervivientes a la violencia de género o el uso de tecnología wearable como elemento de control.

La protección de datos en el ámbito laboral siempre ha sido rodeada de polémica. Hasta hace poco, pero, se mantenía en la colisión de los derechos fundamentales del trabajador respecto a su intimidad con el uso – y muchas veces abuso- de la tecnología por parte de la dirección empresarial. El acceso indebido a las comunicaciones electrónicas del trabajador (caso Barbulescu) o la utilización indiscriminada de las cámaras de vigilancia son dos de los ejemplos más conocidos.

La Agencia aborda ahora temas de mucha actualidad. Por ejemplo, el uso de las redes sociales por parte de los departamentos de selección de personal que no  tienen permiso para indagar en los perfiles de los candidatos, ni durante el proceso de selección ni durante la ejecución del contrato, aunque el perfil sea de acceso público. La empresa, incluso, no está legitimada para solicitar “amistad” a los candidatos para que proporcionen acceso a contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias, se admiten denuncias anónimas y, cuando no lo sea, la confidencialidad de la información y del denunciado tienen que preservarse. Solo se podrán acceder a estos datos en caso de procedimientos disciplinarios y notificaciones a las autoridades de hecho constitutivos de ilícito penalti o administrativo.

Respeto al registro de jornada laboral, la AEPD recomienda que este sea lo menos invasivo posible, sin que sea de acceso público ni visible por todos. Y esta información no se puede usar para finalidades diferentes como, por ejemplo, geolocalizar al trabajador.

La Agencia se ocupa también de las víctimas de acoso al trabajo y de la violencia de género, otorgando a todos los efectos la consideración de categoría especial de los datos personales, considerándolos datos sensibles que requieren una protección reforzada.

La Agencia recuerda que la única base jurídica que legitima el tratamiento de los datos es la ejecución de un contrato de trabajo (además del imperativo legal o por un convenio colectivo).  Y hay que facilitar la información correspondiente, explicar los derechos que asisten a los trabajadores en esta materia y como ejercerlos.

Son todos temas relevantes en el ámbito laboral que, empresarios y trabajadores tienen que tener muy presente en el día a día.

Cuidaos!

IA, Marketing y Protección de Datos

por

IA, Marketing y Protección de Datos

La inteligencia artificial (IA), en contraposición a la natural, se la inteligencia llevada a cabo por las máquinas. Marvin Minsky asigna a la inteligencia artificial la “realización de sistemas informáticos con un comportamiento que en el ser humano calificaríamos de inteligente”. Está destinada a resolver los tipos de problemas que, hasta ahora, estaban reservados a los seres humanos.

Las aplicaciones cotidianas de la IA son cada vez más frecuentes: cuando hablamos con un asistente de voz (Alexa) que aprende de nuestros gustos, consultamos una ruta en tiempo real en Google Maps, aplicaciones de streaming como Spotify o Netflix aprenden de nuestras preferencias y de nuestra actividad para hacernos recomendaciones. Y que decir del inefable Facebook que, un estudio de La Universidad de Stanford concluyó que la red social podía juzgar nuestra personalidad mejor que los amigos o la familia, e incluso, mejor que nosotros mismos. Todo a partir de un determinado número de likes (y no demasiados).

Cómo es natural, la IA tiene una infinidad de campos de trabajo. Uno de ellos, y uno de los más importantes, es el marketing digital. Entre las capacidades necesarias para desarrollar una estrategia de marketing digital, hay una imprescindible que es la capacidad analítica. Y aquí la IA resulta imprescindible para, por un lado, conocer las motivaciones, los objetivos, las aspiraciones y el comportamiento de los usuarios y, por el otro, el análisis de los resultados de todas las actividades de marketing que llevamos a cabo.

La IA nos puede ayudar, por ejemplo, en el análisis predictivo (podemos avanzarnos a las necesidades del usuario para ofrecerle productos y servicios incluso antes de que sea consciente); en la gestión de clientes (CRM) para gestionar leads (clientes potenciales) y convertirlos, vía embudo de ventas, finalmente en clientes; naturalmente, podemos usar IA para publicidad digital nativa usando cookies (o píxeles de FB), chatbots y técnicas de Machine Learning. Incluso nos puede ayudar en la generación de contenidos gracias a la tecnología de Procesamiento del Lenguaje Natural (PLN).

Y todo esto de la IA parte de datos, de nuestros datos, para dar resultados. Y, como son nuestros datos, ha generado, como dice la AEPD, muchas dudas entre usuarios, especialistas, autoridades y la industria en relación a aspectos de cumplimiento normativo, respecto a los derechos de los interesados y seguridad jurídica de todos los intervinientes.

No hay duda de los inmensos beneficios que nos reporta ya la IA y los que nos reportará en el futuro. Pero hace falta que tengamos presente que no todo vale y que nuestra privacidad es la última frontera de la tecnología. Traspasada esta, el futuro será muy complicado.

Cuidaos!

Data Pro Quo

por

Quid pro quo es una expresión latina, de uso muy frecuente en el ámbito jurídico, que podríamos traducir como “una cosa por otra”. Se refiere a lo que se da a cambio de otra cosa.

Aprovechando el juego de palabras, la empresa Shackleton ha presentado Data Pro Quo, la primera máquina vending en la que se paga con datos. Sí, los productos no se pagan con dinero sino con nuestros datos. Partiendo del concepto de que los datos son la nueva moneda, la empresa lo ha llevado a la práctica de forma literal.

Ya estamos acostumbrados a cambiar datos por servicios, aunque hasta ahora lo hacíamos de forma implícita. Lo hacemos cada día una docena de veces: cuando queremos entrar en una página web (recordemos las cookies), cuando queremos descargar un documento o un ebook, cuando nos instalamos una app y tantos otros ejemplos.

Ya hace tiempo que perdimos la inocencia. Al principio pensábamos que los productos y servicios en línea eran gratuitos. Llenábamos formularios a diestro y siniestro, bajábamos cualquier tipo de infoproducto como si no hubiera un mañana y, por supuesto, instalábamos apps cada día (¿habéis contado cuántas apps tenéis instaladas en el móvil?). Por no hablar de las redes sociales que son verdaderas yonquis de los datos.

Porque todo este capital de datos que corre por Internet requiere una colosal infraestructura formada, entre otras, por centenares de miles de servidores, millones de kilómetros de fibra óptica y una gestión brutal de la energía necesaria por que nosotros podamos enviar un whastapp. Y esto tiene un coste muy elevado.

Con Data Pro Quo nos encontramos con la primera propuesta honesta de intercambio de datos por producto. El funcionamiento es el mismo que cualquier máquina de vending en la que el usuario elige el producto que quiere comprar. Y para pagar, en vez de dinero o tarjeta (no se admite otro forma de pago), tiene que responder a una serie de preguntas empezando por el cargo (la máquina está destinada a entornos corporativos) y, en función del perfil, aparecen diferentes cuestiones que, una vez contestadas, dan acceso al producto deseado.

Además de honesta y creativa, la propuesta es inteligente en el sentido que considera al usuario como una persona formada, que valora su privacidad y a quien, de forma abierta, se le puede proponer el intercambio de datos por producto.

Como siempre, tendremos que estar atentos a la gestión de los datos, una vez recogidos, desde el punto de vista de la privacidad y el control que haga la empresa sobre el riesgo de un eventual escape de datos del servidor interno. Pero esto será tema de otro post.

Cuidaos!

Por un puñado de dólares …

por

Este es el título de una famosa película de 1964, en la que el prolífico director de cine Sergio Leone dirigía al inefable Clint Eastwood en un spaghetti western que se convirtió en un clásico del género. No os comentaré la cinta, solo aprovecho el título para haceros la reflexión de que a menudo hay ahorros que se convierten en disgusto.

Recientemente, la Agencia Española de Protección de Datos (AEPD) publicó su Memoria AEPD 2020. El primer titular es que, durante el 2020, se presentaron un total de 10.324 reclamaciones. Casi 50 diarias, en día laborable. Y podríamos añadir cerca de un millar si añadimos los casos transfronterizos.

Las reclamaciones más frecuentes tienen que ver con servicios de Internet, inclusión indebida en ficheros de morosos, videovigilancia, recepción de publicidad y reclamación de deudas. Por sectores, los más sancionados son las entidades financieras y acreedoras, Administraciones Públicas y las empresas de telecomunicaciones.

También se han realizado 29 intervenciones con carácter de urgencia por la retirada de contenidos sexuales o violentos, difundidos por Internet, asociadas al Canal prioritario, con un porcentaje de éxito superior al 86%.

Es importante destacar el hecho de que, a pesar de la pandemia, la actividad de la Agencia se ha mantenido, poniendo de manifiesto que la implantación del teletrabajo no ha disminuido la capacidad de trabajo del Organismo.

Os pueden parecer que las reclamaciones son muchas o pocas. A mi parecer, son suficientes para reflexionar sobre si merece la pena o no que, “por un puñado de euros”, nos pongamos en manos de profesionales que nos ayuden a cumplir con la ley.

Porque siempre decimos que el coste de la adecuación de la empresa es un coste cierto pero que el coste de no adecuarse es imprevisible. El primero se puede imputar ordenadamente en la contabilidad de la empresa mientras que el segundo nos puede hacer desestabilizar la cuenta de resultados y, lo que todavía es más importante, afectar negativamente a nuestra reputación. Y esta última cuesta mucho de recuperar.

Adecuar la empresa a la normativa de protección de datos genera confianza entre empleados (son los primeros que sufren la desconfianza), a clientes y proveedores (¿somos una buena empresa pero no cumplimos con la normativa de protección de datos?),  y administraciones (si queremos, por ejemplo, licitar). Hagamos las cosas bien hechas. Cumplamos con la normativa y evitemos sanciones y daño reputacional.

Cuidaos!

Posiblemente la broma telefónica más cara del mundo

por

 

La Agencia Española de Protección de Datos publicó el pasado martes la Memoria anual del ejercicio 2020. Durante dicho ejercicio, se presentaron un total de 10.324 reclamaciones al organismo.

Las reclamaciones planteadas con mayor frecuencia el pasado 2020 hacen referencia a:

  • Servicios de internet (16%)
  • Inserción indebida en ficheros de morosidad (15%)
  • Videovigilancia (12%)
  • Recepción de publicidad (7%)
  • Reclamación de deudas (6%)

Vemos como las reclamaciones relacionadas con servicios de internet encabezan la lista, con un incremento del 5% respecto al año pasado.

Un ejemplo a destacar es el procedimiento instruido a Miraclia por “la utilización de los datos personales del reclamante para hacerle una broma mediante una llamada telefónica a su móvil, sirviéndose para ello de una app”. La llamada fue grabada y difundida a terceros sin el consentimiento del afectado. Pues bien, la broma costó a Miraclia dos sanciones de 20.000 € cada una, es decir 40.000 €. Añadiéndole el daño reputacional a la marca, posiblemente sea la broma telefónica más cara del mundo. Además, Miraclia tuvo que adecuar sus tratamientos a la normativa de protección de datos.

Por último, en 2020 la Agencia ha dictado 393 resoluciones sancionadoras, lo que supone un incremento del 16% respecto al año anterior. En este caso, las áreas más frecuentes con expedientes sancionadores son videovigilancia seguida de servicios de internet. Sin embargo, los sectores que se llevan la palma en cuanto a importe de sanciones son el sector bancario y el de telecomunicaciones, que solo este 2020 entre los dos alcanzan los 8 millones de euros en sanciones, un incremento del 27% respecto al 2019.

Vemos pues que, a pesar de la pandemia, la AEPD sigue actuando con firmeza, y no le tiembla el pulso a la hora de sancionar. Y todo apunta a que la tendencia en número de sanciones siga creciendo en los próximos años.

Cuidaos.

¡Cuidado si publicas fotos de un tercero sin consentimiento!

por

Si nos dedicamos al marketing y a la comunicación tenemos que tener especial cuidado con la utilización y publicación de imágenes de terceros. Al margen de vulnerar los derechos de imagen, nos podemos encontrar con sanciones importantes por parte de la Agencia Española de Protección de Datos (AEPD).

En efecto, la Agencia ha sancionado con 9.000€ al responsable de una web por publicar material fotográfico y otros datos personales de un usuario, sin su consentimiento. Además, el usuario reclamó y no obtuvo respuesta.

Según la AEPD, y “en conformidad con las evidencias de que se dispone”, se considera que los hechos son constitutivos de dos infracciones:

  • Una primera infracción por vulneración del artículo 6 RGPD por el tratamiento sin consentimiento
  • Una segunda por vulneración del artículo 13 RGPD porque la Política de Privacidad de la página web carecía de los requisitos exigidos en cuanto al tratamiento de datos de carácter personal

Ya hemos hablado en diferentes ocasiones de la importancia de estar legitimados para tratar datos personales. El Reglamento recoge varias bases de licitud como puede ser la ejecución de un contrato, una obligación legal, por interés público, para proteger intereses vitales del usuario, por interés legítimo del responsable y, naturalmente, por el consentimiento del interesado (ver posts sobre el tema).

Entiendo que no hay que insistir en la cuestión. Si no estamos legitimados, no podemos tratar datos personales. Y punto.

Respecto a la segunda cuestión, los textos legales web, también hemos hablado (ver posts). Como responsables, tenemos obligación de informar al afectado del tratamiento de sus datos personales, tal como disponen los artículos 13 y 14 RGPD y el 12 LOPDGDD, y poner a su disposición los medios para ejercer, de forma accesible, los derechos que le corresponden.

En consecuencia, la AEPD impone, por la primera infracción, una multa de 5.000€ y de 4.000€ por la segunda. Además de los daños reputacionales que se pueden sufrir, nunca conviene recibir sanciones económicas por no haber hecho las cosas bien hechas.

Y otro día hablaremos de los derechos de imagen personal. Recordemos que el derecho a la imagen es un derecho fundamental recogido en nuestra Constitución. Dejando de lado las excepciones que marca la ley, siempre tenemos que tener el consentimiento de la persona por la captación, reproducción o publicación.

Como siempre, cuidaos!

Imagen Pixabay

He leído y acepto …

por

Así acaban (los que cumplen) los formularios web, justo antes de pulsar el botón de Enviar. La frase completa es “He leído y acepto la Política de Privacidad” e incluye un casilla para marcar (si no se marca, no se puede enviar el formulario) y un enlace para que el usuario pueda navegar cómodamente a ver las condiciones en que presta su consentimiento. Y prestarlo, o no, en función de estas condiciones.

El consentimiento es una de las bases de licitud de tratamiento más importante y más ampliamente utilizada de las que reconoce el arte. 6.1 RGPD. Hay otros como la ejecución de un contrato (por ejemplo, de servicios), por obligación legal (si lo pide un juez) o el interés legítimo, verdadero cajón de sastre para meter permisos de tratamiento de lo más variado.

Los usuarios somos cada día más conscientes de la importancia de ejercer el control sobre nuestros datos personales. Pero, ¿sabemos realmente lo que aceptamos cuando prestamos el consentimiento? ¿De verdad leemos la Política de Privacidad, las Condiciones de Uso o de Contratación? O, puestos a pedir, ¿leemos la Política de Cookies?

Y lo que es más importante, además de leer, ¿entendemos lo que dice? ¿Somos capaces de anticipar las consecuencias de nuestra decisión? ¿Estamos manifestando una voluntad en base a una decisión racional e informada que manifestamos de forma libre y espontánea? Porque así lo exige el Reglamento.

La cuestión no es sencilla de resolver. A pesar de que con el RGPD las condiciones del consentimiento se han endurecido, la realidad es que al final del día tenemos que prestar el consentimiento varias veces, desde comprar por internet hasta ver las noticias de un diario, pasando por infinidad de situaciones cotidianas (por ejemplo, actualizaciones de apps que renuevan las condiciones) que nos agotan y nos hacen optar por marcar la casilla del consentimiento sin cumplir las condiciones.

Esto sin contar que en la red encontramos, todavía, muchos formularios que no tienen Política de Privacidad o que, si la tienen, no es clara, es larga y farragosa con la letra muy pequeña y, en muchas ocasiones, las finalidades del tratamiento no se corresponden con la realidad o se incluyen cláusulas inaceptables por el usuario.

Todos tenemos claro que nuestros datos son muy valiosos para empresas que los monetizan compartiéndolos o vendiéndolos a intermediarios que crean perfiles y usando técnicas de Big Fecha, Inteligencia artificial y otras tecnologías punteras saben, cada día más y mejor, cuáles son nuestros hábitos, intereses y preferencias.

Vigilemos a quien damos nuestro consentimiento y hagamos lo posible para leer y entender las políticas de privacidad. Es importante.

Otro día explicaremos cómo leer y entender un texto legal de protección de datos.

Mientras tanto, cuidaos!

¡Sí, necesitas un Aviso legal en tu web!

por

Son preguntas recurrentes. ¿Qué es el Aviso legal? ¿Necesito uno para mi web? ¿Tiene que ver con la Protección de Datos? Quiero aprovechar este post para aclarar las dudas y explicar cuál es su obligatoriedad, el contenido mínimo y su función. Ponemos en marcha así una serie de artículos que cubrirán los diferentes aspectos que tenemos que tener en cuenta para que nuestra web sea completamente legal.

¿Qué es el Aviso legal?

El concepto de Aviso legal se refiere a la advertencia legal que se incluye en la mayoría de webs y que recogen, por un lado, la responsabilidad del propietario de la web y, del otro, los derechos del visitante del lugar.

¿Por qué es obligatorio disponer de un Aviso legal?

Porque así lo dice la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

¿Cuándo es obligatorio tener un Aviso legal?

Está obligada a exhibir el Aviso legal toda web de carácter corporativo, es decir, que pertenezca a una empresa o a un profesional, que tenga o pretenda tener actividad económica o que esté relacionada con algún tipo de actividad profesional.

Entran dentro de estos supuestos a) las webs o blogs corporativos que tienen como finalidad ofrecer, divulgar o promocionar algún tipo de actividad profesional; b) todas aquellas webs dedicadas al comercio electrónico, tiendas en línea, e-commerce que ofrezcan productos o servicios y c) sitios web que incluyan algún tipo de publicidad.

¿Qué tiene que incluir el Aviso legal?

  • Nombre o denominación social, NIF/CIF y datos de contacto (domicilio, correo, etc.)
  • Inscripción en el Registro Mercantil, si la empresa está registrada
  • Autorización administrativa si la actividad lo precisa
  • Datos del Colegio Profesional si la actividad está regulada
  • Términos de uso de la web para regular derechos y responsabilidades de los usuarios
  • Referencia a los derechos de Propiedad Intelectual, tanto propios como de terceros
  • Responsabilidad y garantías del titular de la web
  • Fecha, versión y vigencia de la información y posibles cambios

¿Dónde tengo que poner el Aviso legal en mi web?

Se tiene que poner un enlace al pie de todas las páginas de la web. El objetivo es que esté siempre disponible para consultar. El contenido tiene que ser solo el propio Aviso legal.

¿Y si no cumplimos?

Pues, como siempre, estaremos expuestos a sanciones, añadiremos el daño reputacional y no generaremos confianza entre nuestros clientes y usuarios.

¡Cuidaos!

Revisión Textos Legales Web