Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Cookies: lo que toda PYME debe saber para no quedarse atrás

por

En un mundo digital en constante evolución, la gestión de cookies se ha convertido en un reto importante para todas las empresas, en especial para las PYMES que han de afrontar una regulación abrumadora. Con la implementación de nuevas regulaciones en el ámbito de la protección de datos, es imperativo comprender y adaptarse a estas normativas para garantizar un uso adecuado de las cookies en sus sitios web y plataformas online.

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente guías actualizadas, como la «Guía de Cookies» y la «Guía sobre el Uso de Cookies para Herramientas de Medición de Audiencia«, que sirven como referencia esencial..

Aquí queremos proporcionar una visión clara y accesible sobre la nueva regulación de cookies, destacando cómo las empresas pueden cumplir con la normativa, sin perder de vista la importancia de la experiencia del usuario, y seguir generando información valiosa para la empresa.

Conceptos básicos sobre cookies

Las cookies, pequeños archivos de texto almacenados en los dispositivos de los usuarios al visitar sitios web, son fundamentales en el entorno digital actual. Su propósito varía desde funciones básicas, como recordar las preferencias de idioma de un usuario, hasta roles más complejos en la publicidad y análisis de datos. Veamos los principales tipos que existen:

Cookies Técnicas: Son aquellas necesarias para el funcionamiento del sitio web. Incluyen cookies que permiten a los usuarios navegar a través de la página y utilizar sus diferentes opciones o servicios.

Cookies de Personalización: Permiten al sitio recordar información que cambia la forma en que se comporta o se muestra el sitio, como el idioma preferido o la región en la que se encuentra el usuario.

Cookies de Análisis: Recolectan información sobre el uso que se hace del sitio web. Se utilizan para medir la actividad del sitio y elaborar perfiles de navegación de los usuarios, con el fin de introducir mejoras.

Cookies Publicitarias: Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Es importante entender que el uso de cookies no solo facilita una experiencia de usuario más personalizada y eficiente, sino que también implica responsabilidades significativas en términos de protección de datos. La nueva regulación de la AEPD pone un énfasis especial en la transparencia, asegurando que los usuarios sean plenamente conscientes de qué cookies están siendo utilizadas y con qué fin.

Nueva Regulación de Cookies y su Impacto en las empresas

La nueva regulación de cookies, impulsada por la Agencia Española de Protección de Datos (AEPD), trae consigo una serie de cambios significativos que afectan directamente a las empresas. Estos cambios están centrados en garantizar una mayor transparencia y control por parte de los usuarios sobre sus datos personales. Veamos cómo impacta esto en las empresas.

Consentimiento Explícito

La normativa exige que las empresas obtengan un consentimiento claro y explícito de los usuarios antes de instalar cookies en sus dispositivos, excepto en el caso de cookies estrictamente necesarias. Esto significa que las EMPRESAS deben implementar sistemas que permitan a los usuarios aceptar o rechazar las cookies de manera sencilla y comprensible, detallando la finalidad de cada una.

Clasificación y Explicación de Cookies

Es esencial que las empresas clasifiquen correctamente las cookies que utilizan y proporcionen información detallada sobre su propósito. Esto incluye diferenciar entre cookies propias y de terceros, técnicas, de personalización, de análisis y publicitarias. Una política de cookies clara y accesible es fundamental.

Registro del Consentimiento

Las empresas deben ser capaces de demostrar que han obtenido el consentimiento del usuario. Esto implica mantener un registro de consentimientos que pueda ser verificado en caso de inspección por parte de las autoridades reguladoras.

Impacto en la Operativa de la Empresa

Las empresas deben revisar y, en muchos casos, modificar sus prácticas actuales en relación con el uso de cookies. Esto puede implicar ajustes técnicos en sus sitios web, así como la formación del personal sobre las nuevas normativas.

La nueva regulación no solo busca proteger los datos de los usuarios, sino también fomentar una mayor confianza en los servicios digitales, algo esencial para las empresas que buscan crecer y consolidarse en el mercado digital. La adaptación a estas regulaciones no es simplemente una cuestión legal, sino también una oportunidad para mejorar la relación con los clientes y la reputación de la empresa.

Finalidad de las Cookies Publicitarias

Las cookies publicitarias juegan un papel crucial en el ecosistema digital, especialmente para las empresas que buscan optimizar sus estrategias de marketing y publicidad en línea. Sin embargo, con la nueva regulación, es esencial comprender su finalidad y cómo utilizarlas de manera que respete tanto la normativa como los derechos de los usuarios.

¿Qué son las Cookies Publicitarias?

Las cookies publicitarias son utilizadas para recopilar información sobre los hábitos de navegación de los usuarios. Esta información permite a las empresas y anunciantes mostrar publicidad personalizada, basada en el perfil del usuario. Estas cookies pueden rastrear a los usuarios a través de diferentes sitios web, creando un perfil detallado de sus intereses y comportamientos en línea.

Importancia para las empresas

Para las empresas, las cookies publicitarias pueden ser una herramienta valiosa para dirigir las campañas de marketing de manera más efectiva. Permiten segmentar a la audiencia, optimizar el gasto publicitario y mejorar la relevancia de los anuncios para los usuarios. Sin embargo, este tipo de cookies requiere un consentimiento explícito por parte del usuario, debido a su naturaleza intrusiva.

Cumplimiento de la Normativa

Las empresas deben asegurarse de que el uso de cookies publicitarias esté en plena conformidad con las directrices de la AEPD. Esto incluye obtener un consentimiento claro y explícito, proporcionar información detallada sobre qué datos se recogen y cómo se utilizan, y ofrecer a los usuarios la posibilidad de retirar su consentimiento en cualquier momento.

Consejos para un Uso Responsable

  • Ser transparentes sobre el uso de cookies publicitarias y su finalidad.
  • Ofrecer opciones claras para aceptar o rechazar estas cookies.
  • Utilizar alternativas menos intrusivas cuando sea posible.

El uso responsable y transparente de las cookies publicitarias no solo asegura el cumplimiento de la normativa, sino que también contribuye a construir una relación de confianza con los usuarios, elemento clave para el éxito a largo plazo de cualquier empresa.

Cobro por Rechazar Cookies en las Páginas Web

Uno de los aspectos más novedosos y debatidos de la nueva regulación de cookies es la disposición que permite el cobro por rechazar cookies en las páginas web.

En pocos días se han hecho famosos los conocidos como “muros de pago” en periódicos y otras webs con contenidos de suscripción. La idea que subyace es que, si no puedo monetizar tus datos, tengo que cobrar para seguir manteniendo el medio en funcionamiento. Ejemplo claro de lo que hemos dicho muchas veces: nada es gratis y si no pagas con dinero, pagas con datos. Esta máxima se expone ahora con toda crudeza.

Como las condiciones de la última Guía eran muy restrictivas porque se exigía el consentimiento para aceptar las cookies (y, digámoslo todo, la importantísima caída de la aceptación de cookies), la AEPD ha decidido abrir un resquicio legal para poder eximir del consentimiento en determinadas circunstancias.

Esta oportunidad para las empresas aparece recogida en la Guía sobre el uso de las cookies, con el siguiente literal: “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies”.

La finalidad de estas cookies debe estar estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación. Este tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizadas para producir datos estadísticos anónimos únicamente.

Y el uso está acotado por garantías que impone la propia AEPD y que vienen detalladas en la Guía de Uso de cookies para herramientas de medición de audiencia.

Estrategias de Monetización y Consentimiento

Las empresas deben buscar estrategias de monetización que no infrinjan los derechos de los usuarios. Esto incluye ser transparentes sobre cualquier tipo de beneficio o servicio adicional ofrecido a cambio del consentimiento para usar cookies. Las tácticas como los muros de pago o los beneficios exclusivos para usuarios que aceptan cookies deben ser manejados con cuidado para asegurar que no se perciban como una penalización al rechazo de cookies.

Información Clara y Accesible

Es fundamental que las empresas proporcionen información clara y accesible sobre cómo el consentimiento (o su falta) para el uso de cookies afecta la experiencia del usuario en el sitio. Esta comunicación debe ser directa, evitando términos técnicos complejos, para que todos los usuarios, independientemente de su nivel de conocimiento técnico, puedan entender las implicaciones de su elección.

Implementación Práctica

Para las empresas, la implementación de estas directrices significa equilibrar sus necesidades de negocio con el respeto a la privacidad del usuario. Es aconsejable revisar las prácticas actuales de consentimiento de cookies y adaptarlas para cumplir con la normativa, asegurando al mismo tiempo que la estrategia de monetización del sitio web sigue siendo viable y efectiva.

El enfoque en la transparencia y el respeto a la elección del usuario no solo cumple con la regulación, sino que también puede fortalecer la confianza y la lealtad del cliente hacia la marca.

Alternativas al Uso de Cookies

Mientras las cookies siguen siendo una herramienta común en la gestión de sitios web, las nuevas regulaciones y la creciente preocupación por la privacidad de los datos han llevado a muchas empresas a buscar alternativas. Herramientas como Matomo o Fathom emergen como opciones viables, ofreciendo soluciones de análisis web que respetan la privacidad del usuario.

Ventajas de Estas Herramientas

Cumplimiento de la Normativa: Al no depender de cookies que rastrean datos personales, estas herramientas ayudan a las PYMES a cumplir con las regulaciones de protección de datos.

Respeto a la Privacidad del Usuario: Ofrecen una alternativa más respetuosa con la privacidad, lo cual es valorado por muchos usuarios conscientes de sus datos.

Datos de Calidad: Aunque no recopilan datos a nivel individual, proporcionan información valiosa sobre el comportamiento general en el sitio web, lo cual es suficiente para muchas estrategias de marketing digital.

El uso de estas herramientas alternativas no solo muestra un compromiso con la privacidad y el cumplimiento normativo, sino que también puede mejorar la percepción de la marca entre los usuarios preocupados por la seguridad de sus datos.

Conclusiones

En resumen, la nueva regulación de cookies representa un desafío importante, pero también una oportunidad valiosa para las PYMES. Adaptarse a estas normativas no solo es una cuestión de cumplimiento legal, sino también un paso hacia la construcción de una relación más transparente y confiable con los clientes. Es esencial que las PYMES comprendan no solo las obligaciones que impone la normativa, sino también el espíritu que la guía: el respeto por la privacidad del usuario y la transparencia en el tratamiento de datos.

Como siempre, seamos respetuoso con la normativa y ¡cuidaos!

Día Europeo de la Protección de Datos 2024

por

El 28 de gener de cada any, se celebra el Dia Europeu de la Protecció de Dades. En una època marcada per la transformació digital, aquest dia no és només una commemoració; és un recordatori vital de la importància de salvaguardar la informació personal i empresarial. Per als directius de les petites i mitjanes empreses (PIMES) , aquesta data simbolitza una oportunitat per reflexionar i actuar sobre com gestionen i protegeixen les dades en les seves organitzacions.

La protecció de dades ja no és només una qüestió de compliment legal, sinó un aspecte crític que influeix en la confiança i la reputació d’una empresa. En un món cada vegada més connectat i digitalitzat, els directius de les PIMES s’enfronten a desafiaments únics. No només s’han d’assegurar que les seves empreses compleixin amb les regulacions vigents, sinó també preparar-se per als canvis futurs en el panorama de la privacitat de dades. El Dia Europeu de la Protecció de Dades 2024 ens ofereix una excel·lent oportunitat per explorar aquests temes i entendre millor com poden impactar a les PIMES .

La Creixent Importància de la Protecció de Dades

Expansió Digital i Vulnerabilitats de Dades en el Context Actual

L’era digital ha portat amb si un creixement exponencial en la quantitat de dades generades, recopilades i processadores. Aquest fenomen, impulsat per l’ avenç tecnològic i l’ adopció massiva d’ Internet, ha transformat radicalment la forma en què les empreses operen. No obstant això, aquest avanç també ha creat noves vulnerabilitats. Les bretxes de seguretat, els ciberatacs i l’ús indegut de dades personals són amenaces cada vegada més comunes, que poden tenir conseqüències devastadores tant per a individus com per a empreses.

Per a les PIMES, que sovint tenen recursos limitats per a la gestió de dades i la seguretat informàtica, aquest entorn representa un desafiament particular. La protecció de dades ja no és només una qüestió de compliment legal, sinó una necessitat crítica per salvaguardar la integritat empresarial i la confiança dels clients.

Reptes de la Protecció de Dades per al 2024

Nous Desafiaments a l’Era de la Intel·ligència Artificial

A mesura que avancem cap al 2024, el panorama de la protecció de dades enfronta reptes cada vegada més complexos, particularment amb la proliferació de la Intel·ligència Artificial (IA). Aquestes tecnologies, tot i que ofereixen innombrables beneficis, també presenten riscos significatius en termes de privacitat i seguretat de dades. La IA, per exemple, pot processar i analitzar grans volums de dades personals, cosa que planteja preguntes sobre el consentiment, la transparència i el control sobre aquestes dades.

Per a les PIMES, això significa navegar per un terreny encara més complicat. S’ hauran de mantenir al dia amb les últimes tecnologies i les seves implicacions en la privacitat de dades, alhora que s’ asseguren de complir amb les regulacions existents i emergents. L’adaptació a aquests canvis no només és crucial per evitar sancions legals, sinó també per protegir el seu actiu més valuós: la confiança dels seus clients.

Impacte Específic en les PIMES

Les PIMES, en particular, enfronten desafiaments únics en aquest context. Moltes d’ aquestes empreses estan en el procés de digitalització i poden no tenir els recursos o l’ experiència necessaris per abordar eficaçment els riscos de seguretat de dades. A més, el dinàmic panorama legal europeu i espanyol exigeix una constant actualització i adaptació.

Les PIMES han de prioritzar l’ educació i capacitació en protecció de dades, així com la inversió en solucions de seguretat i privacitat adequades. A més, és fonamental que aquestes empreses comprenguin no només les seves obligacions legals, sinó també el valor estratègic d’ una gestió de dades eficaç i segura en la construcció de relacions sòlides i duradores amb els clients.

Conclusió

A les portes del Dia Europeu de la Protecció de Dades 2024, és crucial que les PIMES reconeguin la importància d’estar al dia amb les tendències i desafiaments en la protecció de dades. El compliment no és només una qüestió de legalitat, sinó un factor clau per a la confiança del client i la reputació empresarial. En abraçar aquests desafiaments i preparar-se per als canvis legislatius, les PIMES poden no només protegir la seva informació i la dels seus clients, sinó també posicionar-se com a empreses responsables i a l’avantguarda en l’era digital.

Instem els directius de PIMES a prendre aquest dia com un moment de reflexió i acció. La inversió en protecció de dades és una inversió en el futur de la seva empresa i en el de tots.

I, sobretot, Cuideu-vos!

La Liga (LFP) bajo Vigilancia

por

En una era donde la tecnología se entrelaza cada vez más con la vida cotidiana, la privacidad de los datos se ha convertido en un tema de discusión fundamental. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha puesto el foco en La Liga de Fútbol Profesional (LFP) por el uso de sistemas de reconocimiento facial en los estadios. Este aviso no solo resalta los desafíos que enfrentan las grandes organizaciones, sino que también envía un mensaje crucial a las empresas en general sobre la importancia de navegar con cuidado en el complejo mundo de la biometría y la protección de datos.

De hecho, ya nos referimos al tema semanas atrás cuando la AEDP publicó la  Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La publicación supuso un importante cambio de postura de la Agencia respecto al uso de la biometría en el acceso y el control laboral.

 

Reconocimiento Facial y Privacidad

El reconocimiento facial, una forma de biometría, se ha utilizado cada vez más para mejorar la seguridad en lugares públicos, incluyendo estadios deportivos. Aunque estas tecnologías ofrecen beneficios significativos en términos de seguridad, también generan preocupaciones considerables sobre la privacidad y los derechos individuales. La AEPD ha llamado la atención sobre este equilibrio delicado, enfatizando la necesidad de cumplir con regulaciones estrictas, como el RGPD.

 

La Respuesta de La Liga (LFP)

Frente a las advertencias de la AEPD, La Liga ha defendido su uso de sistemas de reconocimiento facial, argumentando que su principal objetivo es garantizar la seguridad en los estadios.

La Liga sostiene que esta tecnología ayuda a identificar a individuos que puedan representar una amenaza, como aquellos con prohibiciones de acceso o implicados en actos violentos previos. Esta justificación se basa en la premisa de que la seguridad colectiva puede requerir medidas más robustas, aunque intrusivas.

Sin embargo, esta posición plantea un importante debate: ¿hasta dónde puede llegar una organización en la implementación de tecnologías de vigilancia bajo la premisa de la seguridad, sin vulnerar los derechos individuales de privacidad?

Y este debate afecta también a todas las empresas y organizaciones.

 

Implicaciones para las empresas

A falta de ver como se resuelve el contencioso entre La Liga y la AEPD, y a la espera de ver si La Liga es capaz de encontrar soporte jurídico para sus pretensiones, las empresas deben ser conscientes de que cualquier tecnología intrusiva, especialmente aquellas que procesan datos biométricos, requiere un análisis exhaustivo en términos de cumplimiento normativo, previo a su aplicación.

Es fundamental que las empresas evalúen no solo los beneficios de seguridad y eficiencia que estas tecnologías pueden ofrecer, sino también el impacto en la confianza y la privacidad de los individuos. Adoptar un enfoque transparente y responsable, alineado con las directrices de la AEPD y el RGPD, es esencial para evitar sanciones y preservar la reputación de la empresa.

 

Conclusión

La advertencia de la AEPD a La Liga por el uso de reconocimiento facial en estadios es un recordatorio oportuno para las empresas sobre la importancia de equilibrar la innovación tecnológica con el respeto a la privacidad y la normativa de protección de datos. Este caso subraya la necesidad de un manejo cuidadoso y ético de tecnologías potencialmente intrusivas, instando a las empresas a considerar no solo las ventajas operativas, sino también las implicaciones legales y sociales de su implementación.

Estamos a las puertas de una nueva edición del Mobile World Congress (MWC) a celebrar en Barcelona. El año pasado hicieron un uso intensivo del reconocimiento facial para la gestión del acceso de los visitantes. Veremos qué solución aplican este año.

Mientras tanto, ¡cuidaos mucho!

¿Fin del uso de la huella dactilar para el acceso al centro de trabajo?

por

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La Guía representa todo un reto para la adopción de sistemas de identificación biométrica, ya que la AEPD ha revisado sus criterios y aclarado los requisitos esenciales para el tratamiento de datos. Y no pone nada fácil.

Según el Reglamento General de Protección de Datos (RGPD), los datos biométricos se consideran una categoría especial de datos cuando se utilizan para identificar de manera única a una persona. La AEPD ha aclarado que estos datos solo se pueden procesar en circunstancias excepcionales, como con el consentimiento explícito de la persona o si es necesario para el cumplimiento de las leyes laborales o los derechos de protección social y hay una base legal para hacerlo.

La Guía indica que las disposiciones legales anteriores que se pensaba que legitimaban estos sistemas biométricos son insuficientes, ya que no mencionan expresamente el procesamiento de datos biométricos ni proporcionan las protecciones de privacidad necesarias para los empleados. Además, el consentimiento de los empleados tampoco se considera una base válida para la legitimación debido al desequilibrio de poder inherente entre empresarios y empleados.

La conclusión es que se convierte en extremadamente difícil, si no imposible, utilizar sistemas de identificación biométrica para estos propósitos en las empresas, sin una regulación específica europea o española o un acuerdo de negociación colectiva que proporcione normas claras y garantías.

Como alternativas a los controles biométricos, las soluciones podrían incluir métodos tradicionales como hojas de firma manuales, tarjetas clave electrónicas, códigos PIN o aplicaciones móviles que permiten registros basados en la ubicación. Estas alternativas se prevén menos invasivas para la privacidad, se alinean con el principio de minimización de datos del RGPD y aún cumplir con los requisitos operacionales del puesto de trabajo.

El impacto para las empresas de los nuevos criterios de la AEPD al reconocer la biometría como falta de legitimación para el tratamiento de datos es significativo. Las empresas deberán reconsiderar el uso de sistemas de control biométrico, ya que la Guía limita fuertemente estas prácticas. Sin una base legal específica, consentimiento explícito (muy complicado de utilizar en la práctica para el desequilibrio entre empresa y trabajador y tener que superar el juicio de idoneidad) o acuerdos colectivos con garantías adecuadas, las empresas no podrán utilizar datos biométricos para controles de presencia o acceso.

Todo ello puede requerir cambios operativos significativos y, como decíamos, la implementación de métodos alternativos de control de presencia que respeten la privacidad y la protección de datos de los empleados.  La Agencia, incluso, recomienda explorar opciones que ni sean tecnológicas como, por ejemplo, la utilización de recursos humanos. Vaya, poner un vigilante en la puerta, como se ha hecho toda la vida. En fin …

De ahora en adelante, no pongáis el dedo en ningún sitio y ¡cuidaos!

Pasos en la buena dirección

por

La protección de datos es un tema de creciente importancia en la sociedad digital de hoy. Recientemente se han dado varios desarrollos significativos en este campo, al margen de la omnipresente Inteligencia Artificial de la que cada día se generan noticias cada vez más preocupantes. Es decir, pasas en la buena dirección.

Por ejemplo, La Agencia Española de Protección de Datos (AEPD) acaba de publicar una Guía sobre el uso de sistemas biométricos para el control de acceso, estableciendo criterios claros para uso tanto en entornos laborales como no laborales. Este avance destaca la necesidad de equilibrar la seguridad y la privacidad en el uso de tecnologías avanzadas. Recordemos, además, que los datos biométricos son, a criterio del RGPD, de categoría especial de alto riesgo, por lo que debemos tener un cuidado especial en su tratamiento.

Por otro lado, TikTok se ha unido al Canal Prioritario de la AEPD, una medida que subraya el compromiso de la plataforma con la protección de datos de los usuarios. Esta colaboración surge tras la orden de la AEPD de retirar unos 30 contenidos con material sexual y violento en 2023, lo que pone de manifiesto la responsabilidad de las plataformas digitales en el manejo y la moderación del contenido. La empresa ha establecido, incluso, una vía de comunicación para atender con urgencia los requerimientos que le traslade la AEPD en caso de contenidos que pongan en riesgo los derechos y libertades o la salud física o mental de las personas afectadas.

Además, la Unión Europea ha prohibido a Meta (Facebook) mostrar anuncios basados en el comportamiento de los usuarios en plataformas como Instagram y Facebook. Esta decisión es un claro ejemplo de cómo las regulaciones están evolucionando para proteger mejor la privacidad y los datos personales de los usuarios en un entorno digital cada vez más intrusivo. La Comisión de Protección de Datos (DPA) ha señalado que se debe imponer una prohibición del tratamiento de datos personales según el comportamiento de los usuarios, una decisión que tendrá efecto en todo el Espacio Económico Europeo (EEE).

Estos casos reflejan una tendencia global hacia una mayor supervisión y regulación en el ámbito de la protección de datos. Las empresas y las organizaciones son llamadas a adoptar prácticas más transparentes y responsables en el manejo de información personal. Este enfoque no sólo es crucial para salvaguardar la privacidad de los individuos, sino también para mantener la confianza en el ecosistema digital.

En resumen, la protección de datos personales se ha convertido en una prioridad en el mundo digital. Las regulaciones y guías recientes, como las emitidas por la AEPD y la UE, son pasos importantes para garantizar que los avances tecnológicos no comprometan la privacidad y seguridad de los usuarios. Las empresas y plataformas deben adaptarse a estos cambios, priorizando la protección de datos personales en las operaciones y estrategias de negocio. Estas medidas son fundamentales para construir un entorno digital más seguro y fiable para todos.

Así que ya lo sabéis, cuidad vuestra privacidad y ¡cuidaos!

¿Una idea muy tonta? No, directamente estúpida y poco ejemplar

por

Pues sí, tal y como ha reconocido en la revista Rolling Stone, el CEO de HBO confesó haber troleado a los críticos con tuits falsos tras publicarse un informe de la revista. Casey Bloys explicó que durante la pandemia pasó una «cantidad de tiempo poco saludable» en Twitter cuando habló de utilizar un «ejército secreto» para responder a los críticos. Y ya dijo que se le había ocurrido «una idea muy tonta para aplacar su frustración».

En resumen, una conducta, como mínimo, poco ejemplar, justificada con excusas inaceptables. Los hechos ocurrieron entre 2020 y 2021 cuando era presidente de programación y responsable de contenidos de la compañía. Ahora es el máximo responsable.

Hechos como estos ponen de manifiesto la importancia de la formación y de la comunicación para fomentar la cultura de cumplimiento en las organizaciones. Formación y Comunicación son piedras angulares para hacerlo.

Y sí, hablamos de protección de datos, pero también de más cosas. Esta cultura debe llegar a todos los rincones de las empresas, y de la Administración, y a todas las personas que están involucradas en ella. Y debe llevar a todas partes la ética y el cumplimiento en general.

Hacemos un repaso breve a los principales aspectos claves a tener en cuenta.

  1. Conciencia sobre la importancia de la protección de datos.
    La formación continua asegura que todos los empleados, desde la alta dirección hasta el personal operativo, entiendan la importancia crítica de proteger los datos personales y la información confidencial. Al estar informados sobre los riesgos y las consecuencias de una brecha de datos, los empleados pueden reconocer la relevancia de su comportamiento diario en la salvaguarda de la información.

  2. Comprensión de la legislación y normativas.
    Las leyes de protección de datos, como el RGPD en Europa, la CCPA en California y otras legislaciones similares en todo el mundo, son complejas y sujetas a cambios. La formación ayuda a mantener al personal actualizado sobre sus responsabilidades legales y sobre cómo la legislación afecta a sus roles específicos.

  3. Implementación de mejores prácticas.
    La capacitación proporciona a los empleados el conocimiento de las mejores prácticas en el manejo de datos, incluyendo la identificación de información sensible, el uso correcto de sistemas de TI y la aplicación de protocolos de seguridad. Esto reduce la posibilidad de errores humanos, que son una de las causas más comunes de las brechas de datos.

  4. Gestión de riesgos.
    La formación puede ayudar a los empleados a identificar y evaluar los riesgos relacionados con la protección de datos en las actividades cotidianas, así como a aplicar las medidas de mitigación adecuadas.

  5. Respuesta a incidentes.
    La comunicación efectiva asegura que, en caso de una violación de datos, todos los miembros de la organización sepan exactamente cómo se puede reaccionar, quién debe ser notificado y qué pasos deben seguir para contener y resolver la situación.

  6. Refuerzo del compromiso ético.
    Una cultura de cumplimiento también es una cuestión de ética empresarial. La formación ayuda a internalizar el valor de la privacidad y el respeto por la información personal, más allá del mero cumplimiento legal.

  7. Transparencia con las partes interesadas.
    La comunicación eficaz no solo es importante internamente sino también hacia fuera. Es vital que los clientes, socios y reguladores perciban la seriedad con la que una organización trata la protección de datos, lo que puede mejorar la reputación y la confianza en la marca.

  8. Adaptación a la evolución tecnológica.
    La tecnología y las amenazas de seguridad evolucionan rápidamente. La formación continua asegura que los empleados estén al día con los desarrollos tecnológicos y las amenazas emergentes.

  9. Fomento de una cultura de informes.
    Los empleados deben sentirse cómodos informando posibles problemas o brechas sin miedo a represalias. Una comunicación abierta y transparente fomenta una atmósfera donde los empleados se sienten seguros al reportar incidentes o conductas sospechosas (más allá del Canal de Denuncias).

  10. Mejora continua.
    La formación y comunicación son procesos continuos que ayudan a las organizaciones a adaptarse y mejorar sus prácticas de protección de datos de forma constante y alineada con los cambios en el entorno regulatorio y tecnológico.

Para que una cultura de cumplimiento sea efectiva y sostenible, es esencial que la formación y la comunicación sean vistas como inversiones continuas y no como requisito de una sola vez. Esto demuestra el compromiso de la organización con la protección de datos y refuerza la importancia de cada individuo en el proceso de proteger la información confidencial y de su compromiso con una conducta ética.

Como siempre, hagamos las cosas bien y ¡cuidaos!

EL DNI «y dos huevos duros»

por

Recordamos la célebre frase de Groucho Marx en la película “Una noche en la ópera”.  En un camarote abarrotado, Groucho hace el pedido de comida al camarero y cada vez añade un plato a la lista. Chico, otro hermano, dice: “Y también dos huevos duros”, y Harpo, el tercer hermano mudo, hace sonar la bocina para indicar que, en vez de dos, ponga tres huevos. Y así varias veces.

Me he acordado de esta frase en relación al Informe 48/2023 de la Agencia de Protección de Datos del pasado septiembre, en el que pone de manifiesto la decisión de poner freno a la práctica de que las empresas pidan copias del DNI para identificar a los ciudadanos por cualquier cuestión. Es una costumbre arraigada que empresas y Administración pidan toda suerte de documentación al ciudadano y además “también copia del DNI” (a ser posible por las dos caras).

Existe una tradición heredada de la derogada Ley Orgánica de 1999, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una copia del DNI (o NIE o documento equivalente). Esta práctica sigue llevándose a cabo sin que nadie se la cuestione porque “siempre se ha hecho así” y porqué parece que ofrece más seguridad al tráfico jurídico.

En su Informe, la AEPD considera que el uso de DNI puede resultar excesivo o directamente innecesario para cumplir con la finalidad de identificación.

¿Qué problemas plantea?

El número del DNI no es un dato de categoría especial pero sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular.

La suplantación de identidad es un perjuicio muy habitual puesto que pueden realizarse muchas gestiones como dar de alta contratos o cuentas corrientes, registrarse en sitios web de pornografía o juego online, incluso, pedir un duplicado de la tarjeta SIM.

Y también supone un reto de seguridad de la información para las empresas que realizan los tratamientos porque tienen que almacenar los DNIs, en formato analógico o digital, y asegurar su transmisión a terceros. Para compañías que manejan cientos de miles de documentos, incluso de millones, al año, no es un problema menor. Una brecha de seguridad en estos casos puede ser devastadora para su reputación, sanciones al margen.

¿Qué es el principio de minimización?

Está consagrado en el artículo 5.1.c) “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Es decir, solo podemos tratar como responsable únicamente aquellos datos que son estrictamente necesarios para la finalidad perseguida.

¿Qué dice la Agencia?

La Agencia parte de recordar el principio de responsabilidad proactiva, que recoge el RGPD, de forma que cada responsable tendrá que valorar los casos de uso concretos que se le presenten, y hacer juicios de ponderación si fuera necesario, y ver si es procedente o no pedir el DNI o tratar el número o guardar una copia para sus registros. Y, si hay que pedirlo, qué medidas de protección especial se deben aplicar.

Y en el Informe, la Agencia expone unos criterios generales como que la solicitud del número o copia del DNI no puede instaurarse por defecto y que hay que analizar cada supuesto concreto.

Y tampoco puede solicitarse una copia del DNI para el ejercicio de derechos por parte del interesado.

Como en todo, existen excepciones. Por ejemplo, se puede pedir el DNI para cumplir con la normativa en las actividades de prevención del blanqueo de capitales y la financiación del terrorismo porque la ley lo ampara.

Sanciones

Las sanciones son cada vez más frecuentes y de importe más elevado. Mensajería (por fotografiar el DNI), hoteles y plataformas como AirBnb (por pedir copia para hacer la reserva), entidades bancarias por pedir el DNI para hacer un trámite e, incluso, una sanción de 300.000€ a una empresa de selección de personal por vulnerar el art. 5.1.c) del RGPD (minimización de datos) y una infracción del artículo 12 RGPD en el ámbito del ejercicio de los derechos del interesado.

Soluciones

No hay una solución única. Cada responsable tendrá que revisar sus casos de uso y ver qué datos necesita y recoger solo esos. O, si necesita la copia del DNI, justificarlo.

Y ver si hay alternativas menos gravosas para el usuario.

Hay en el mercado soluciones técnicas que permiten, por ejemplo, escanear un documento apantallando (ofuscando, excluyendo, pixelando la imagen, etc.) determinados campos lo que permite guardar solo aquellos estrictamente necesarios.

O enviar códigos alfanuméricos al teléfono móvil que permitirá la identificación del usuario.

Conclusiones

La práctica de pedir el DNI para todo tiene que decaer. Y debe hacerse un esfuerzo por parte de todos para que se acometa la reforma de los sistemas de las empresas lo antes posible. Y tomar medidas también para con los documentos guardados, de los que hablaremos otro día.

Como siempre, ¡cuidaos!  

Nuevas «smart glasses» de Meta y Ray-Ban: tecnología que asusta

por
Meta ha anunciado en su evento Meta Connect 2023 sus nuevas gafas inteligentes en colaboración con Ray-Ban. Es la segunda generación de las Ray-Ban Meta Smart Glasses, que han sido diseñadas por EssilorLuxottica y se pondrán a la venta en EEUU el próximo 17 de octubre con un precio inicial de 299 dólares (no se sabe aún cuánto costarán en España).
 
La combinación de la experiencia de un gran fabricante de gafas como Ray-Ban con una plataforma tecnológica puntera ha dado a luz un producto tremendamente avanzado, con posibilidades muy bien infinitas y a un precio asequible.
 
Las especificaciones técnicas son, sencillamente, brutales. Cámara mejorada de 12 MP, emisión en directo en Instagram y Facebook, audio mejorado, llamadas y mensajes, comandos de voz, touchpad y botón de captura, estuche de carga y, naturalmente no podía faltar, Meta AI para encontrar la información en el momento preciso desde tus gafas. Dispone también de una App dedicada.
 
Y el diseño es Ray-Ban. Con eso lo decimos todo. Desde el estuche casi convencional (pero que almacena 8 cargas) hasta dos diseños icónicos: Wayfarer y Headliner, en diferentes colores. Son ligeras, a la moda y con más de 150 combinaciones de monturas y cristales. Y, naturalmente, se pueden graduar a petición.
 
Y, hasta aquí, la parte brillante de la noticia. Pero, como las monedas, todo tiene dos caras. Y el reverso es, como casi siempre, la privacidad. No olvidemos que estamos hablando de Meta, una compañía que se ha destacado siempre por tener un absoluto desprecio por los datos personales de sus usuarios.
 
Sólo hay que recordar el escándalo de Cambridge Analytica que desveló que la empresa accedió indebidamente a datos de millones de usuarios de Facebook para influir en las elecciones.
 
Y, desde la entrada en aplicación del RGPD en 2018, Meta ha enfrentado multas récord y litigios relacionados con la privacidad de los datos en varios países, incluidos Estados Unidos y los países miembros de la Unión Europea, debido a su gestión de la información del usuario. Estos han incluido problemas con el consentimiento del usuario y el compartir datos con terceros sin permiso explícito.
 
Otro problema importante que tiene Meta es el uso de datos del usuario para hacer publicidad dirigida, mediante, algoritmos para mostrar contenido y anuncios personalizados. Esta práctica ha levantado críticas en relación con la privacidad y la autonomía del usuario.
 
Tantas han sido las críticas y tanto el debate en los medios o en las redes que, finalmente, Facebook tuvo que cambiar su nombre corporativo a Meta.
 
Y, ahora, tras la iniciativa del Metaverso (que de momento no arranca), presenta la segunda generación de gafas inteligentes. Y, claro, lo primero que pensamos es en el horror de millones de usuarios recopilando datos, en todo momento y lugar, en foto, vídeo audio y subiéndolas en directo a las redes sociales.
 
Tendremos que ver la Política de Privacidad de Meta por este supuesto pero, permitidme no ser muy optimista, vista su trayectoria hasta ahora. Eso sí, las gafas son una «pasada» y quién sabe si tendrán éxito y pronto todos llevaremos gafas inteligentes con la misma naturalidad que llevamos reloj.
 
De momento, pero, cuidaos!

España, un paso adelante en la supervisión de la Inteligencia Artificial

por
En efecto, la Agencia Española de Inteligencia Artificial (AESIA) comenzará a funcionar en un plazo máximo de tres meses. A finales de agosto, el Consejo de Ministros aprobó el Estatuto de este organismo, que se adscribe al Ministerio de Asuntos Económicos y Transformación Digital. España se convierte así en el primer país europeo en tener un órgano de estas características. Pero empiezan por el principio.
 

¿Qué es la inteligencia artificial?

La inteligencia artificial (IA) es un subcampo de la informática que busca crear sistemas capaces de realizar tareas que requieren inteligencia humana. Estas tareas pueden incluir, pero no se limitan a, la comprensión del lenguaje natural, la percepción visual, la toma de decisiones, la resolución de problemas y el aprendizaje a partir de datos o experiencias anteriores.
 
La IA se basa en diferentes técnicas y teorías, incluyendo los algoritmos de búsqueda, la lógica, el reconocimiento de patrones, el aprendizaje automático, las redes neuronales, la robótica, entre otros.
 

¿Qué es la inteligencia artificial generativa?

Y como todo avanza a toda velocidad, ahora ya disponemos de IA generativa. La inteligencia artificial generativa se refiere a sistemas de IA que pueden generar contenido nuevo que no ha sido previamente visto. En lugar de simplemente analizar datos y extraer información (como lo haría un sistema de IA «discriminativo»), los sistemas generativos pueden crear datos que parecen nuevos y originales.
Esto hace que los problemas que plantea la IA se multipliquen.
 

¿Por qué necesitamos regular la IA?

Las razones son múltiples. Podemos citar unas cuantas como conductas de ética dudosa que afecten a la privacidad de los individuos, razones de seguridad si la IA se utiliza para atacar sistemas de ciberseguridad, opacidad de los algoritmos que esconde como se toman las decisiones, sesgo en la toma de decisiones que afecte a la igualdad de las personas, responsabilidad en caso de decisiones erróneas tomadas por la IA, estimular la innovación hacia direcciones positivas para la sociedad, hacer aportaciones decisivas en el campo económico y laboral si la IA está bien orientada, proteger al consumidor o, por último, para coordinar nuestra regulación con la de otros países, a la manera, por ejemplo, como se ha hecho con la protección de datos en Europa.
La clave es encontrar un equilibrio entre proteger la sociedad y los derechos individuales sin frenar la innovación y el desarrollo tecnológico.
 

¿Qué paso ha dado España?

El Gobierno ha explicado que esta estrategia incluye diferentes planes estratégicos, entre ellos la Estrategia Nacional de Inteligencia Artificial (ENIA) , que tiene como objetivo dar un marco de referencia para el desarrollo de una inteligencia artificial «inclusiva, sostenible y centrada en la ciudadanía».

 

La Estrategia forma parte del Plan de Recuperación, Transformación y Resiliencia (PRTR) , que pretende situar a España como país puntero en inteligencia artificial (IA). La AESIA se adscribe al Ministerio de Asuntos Económicos y Transformación Digital mediante la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Con la creación de esta agencia, España se convierte en el primer país europeo que tiene un órgano de estas características y se anticipa a la entrada en vigor del Reglamento europeo de inteligencia artificial.

 

La figura del DPD en la aplicación de la IA

El Delegado de Protección de Datos, profesional que revisa el cumplimiento de la normativa de privacidad a las empresas y organismos, es la figura idónea para supervisar la utilización de la IA. Como dice la AEPD, «el DPD, incluso en los casos que no sea obligatorio, puede ser de gran utilidad en aquellas entidades que emplean soluciones basadas en IA y que tratan datos personales, o que desarrollan soluciones de IA que hacen uso de datos personales para el entrenamiento de los modelos. A tenerlo presente.
 

Conclusiones

El mundo de la IA, tanto apasionante como lleno de peligros e incertidumbres, ha irrumpido con fuerza en nuestra sociedad. Y todavía sólo hemos visto el principio. Si somos capaces de hacerla nuestra, minimizando las desventajas y potenciando las ventajas para todos, no por unos cuantos, estoy convencido de que estamos ante lo que los americanos dicen un «game changer». Muy disruptivo, quizás, incluso, superando la eclosión de Internet. Veremos.
 
Mientras tanto, ¡cuidaos!

Revisión Textos Legales Web