Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

¿Cómo gestionar las redes sociales de una persona que nos ha dejado?

por

La vida pasa y cada día pasa más deprisa. Y a medida que va pasando, vamos dejando, con mejor o peor fortuna, nuestra huella. Hasta ahora, esta huella era analógica pero, desde hace unos años, se ha añadido la huella digital. De forma silenciosa pero constante, cada día añadimos más información nuestra a Internet.

Qué es una Huella Digital ya lo explicamos tiempo atrás cuando nos preguntábamos ¿Qué sabe Internet de ti? Podemos definir la Huella como el conjunto de datos y contenidos personales que compartimos en Internet, en particular en las redes sociales. Y la pregunta que nos hacemos hoy es qué pasa con esta información cuando una persona nos deja.

La muerte de un ser querido es siempre un momento difícil. Y gestionar su presencia digital puede parecer un detalle insignificante pero, es un paso importante para honrar su memoria. Escribimos estas notas a raíz de la petición del hijo de un cliente para que diéramos de baja la cuenta de su padre en Linkedin. ¿Por qué es importante eliminar una cuenta de Linkedin de una personal que nos ha dejado? ¿Y cómo lo hacemos? Continúa leyendo y encontrarás las respuestas.

¿Por qué eliminar la cuenta es importante?

Eliminar la cuenta de una persona muerta en Linkedin es importante porque puede ayudar a prevenir el robo de identidad y proteger la privacidad de la persona fallecida y de sus contactos. Además, puede ayudar a evitar que se envíen mensajes no deseados o se realicen publicaciones en nombre de la persona fallecida. Y, por supuesto, evitaremos que nos llegue un recordatorio anual de su cumpleaños, con el dolor adicional que puede suponer para familia y amigos.

Por último, es importante también desde el punto de vista de empresa para que puede provocar confusión si el finado no contesta a las solicitudes de otros miembros de Linkedin.

Pasos a seguir para eliminar la cuenta de Linkedin de una persona fallecida

  1. Visita la página de Ayuda de LinkedIn y busca «Cerrar la cuenta de un ser querido fallecido».
  2. Rellena el formulario de verificación de defunción, proporcionando toda la información necesaria, como tu relación con el finado (testamento, libro de familia, etc.) y una copia del obituario o certificado de defunción.
  3. Envía el formulario y espera que el equipo de LinkedIn revise tu solicitud. Esto puede tardar algunas semanas, pero una vez se aprueba, la cuenta se cerrará.

    Es posible que Linkedin nos pida información adicional y hay que tener en cuenta que el procedimiento es irreversible.

Alternativas

Linkedin ofrece también la posibilidad de convertir la cuenta estándar en una cuenta «in memoriam«. Este tipo de cuenta permite a los contactos del finado compartir recuerdos y homenajes en su perfil.

Conclusión

Cerrar la cuenta de Linkedin es importante pero es una de las cosas que hay que hacer cuando nos deja una persona estimada. Pero no es la única. Además de las redes sociales, hay muchos otros sitios en Internet donde puede haber contenidos que hagan referencia al finado. Quizá alguno indeseable pero también muchos interesantes y que habrá que preservar.

Nuestra recomendación es solicitar un Informe de Huella Digital, a partir del cual poder repasar todas las apariciones y actuar en consecuencia en cada caso.

¡Como siempre, cuidaos y cuidad de los vuestros, incluso de los que nos faltan!

¿Fin de las llamadas comerciales no deseadas?

por
Todos estamos cansados de recibir llamadas no deseadas, muchas a horas intempestivas, ofreciéndonos todo tipo de servicios, ofertas o propuestas de los más diverso. En efecto, a las ya conocidas llamadas de los operadores de telefonía que nos ofrecen la tarifa definitiva con toda clase de regalos y descuentos, hasta ONG’s que reclaman ayudas para sus propósitos, pasando por todo tipo de empresas haciendo una acción comercial desagradable para todos, con una más que discutida rentabilidad. Y ahora, en campaña, también si añaden los partidos políticos de forma más o menos disfrazada.
 
Pues bien, parece que esta práctica comercial puede estar en camino de desaparecer. En efecto, el pasado 30 de junio de 2022 entró en vigor la Ley 11/2022 General de Telecomunicaciones, excepto el artículo 66.1.b) por el que se estableció una moratoria de un año para su entrada en vigor. Y el año se cumplió ayer. Y la AEPD ha publicado una Circular que lo explica.

Consentimiento

El artículo se refiere, precisamente, al derecho de no recibir llamadas comerciales no deseadas. A partir de ahora, los usuarios tendremos derecho s no recibir este tipo de llamadas, salvo que exista consentimiento por nuestra parte o que la comunicación se pueda amparar en otra base de legitimación del artículo 6.1 del Reglamento (UE) 2016/679, es decir, el RGPD.
 
Y como es natural este consentimiento ah de cumplir todas las exigencias que recoge el Reglamento.
 

Interés legítimo

El caso más frecuente de utilización de esta base de legitimación por la empresa, es que haya una relación contractual previa, si el responsable obtuvo los datos de forma lícita y los utiliza por comunicaciones comerciales referentes a productos o servicios de su empresa que sean similares a los que inicialmente fueron objeto de contratación por parte del cliente.

Medidas previas

Será necesario que las empresas consulten previamente los sistemas de exclusión publicitaria, conforme al artículo 23 de la LOPDGDD. El más conocido es la inscripción en el Servicio Lista Robinson. Es gratuito y muy sencillo de usar. La AEPD ofrece en su web varias maneras de restringir la publicidad no deseada.
 
Las empresas también deberán adoptar garantías adicionales como son la información sobre la identidad del empresario, indicar la finalidad comercial de la llamada e informar sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas.
 
Las llamadas deberán grabarse para demostrar el cumplimiento de la normativa sobre protección de datos.

Las sanciones

El encargado de hacer cumplir la norma es la AEPD que podrá imponer sanciones hasta 100.000€ por las faltas leves, y de hasta 20M€ en los casos de infracciones muy graves. Conclusiones Quizás estemos muy cerca de resolver una situación muy injusta para los usuarios y que hace masas años que dura. El abuso y la impunidad de que han hecho gala muchas empresas, tecnológicas, seguros, bancarios, etc, había llegado a un punto de hacerse, muchas veces, insoportable. Seguiremos de cerca la evolución de la aplicación de la norma y, en especial, en cuanto a las sanciones.
 
Desde hoy, la vida es un poco más fácil para los usuarios. ¡Recordad, cuidémonos!

El Espacio Europeo de Datos Sanitarios (EHDS): un inmenso reto para la privacidad

por

Introducción:

Dicen que el camino al infierno está empedrado de buenas intenciones. El pasado mayo de 2022, la Comisión Europea presentó una propuesta de regulación sobre el denominado Espacio Europeo de Datos Sanitarios. La propuesta fue motivada por el descubrimiento de un alto grado de fragmentación, disparidades y dificultades en el acceso y el uso de datos sanitarios electrónicos en los Estados miembros de la Unión Europea. De hecho, las acciones de los Estados miembros en este ámbito se han demostrado claramente insuficientes. La pandemia hizo saltar todas las costuras.

Los problemas

Ahora mismo, los usuarios tenemos dificultades para ejercer nuestros derechos sobre los datos electrónicos de salud, incluyendo el acceso y la transferencia, tanto a nivel nacional como transfronterizos. Por ejemplo, aunque tengamos los datos en digital, los usuarios no estamos en disposición de dar acceso o permitirle a nuestros datos a diferentes proveedores de salud.

Hoy en día, hay diferencias significativas en la aplicación de reglas a través de los Estados miembros por la falta de pautas y recomendaciones. Y eso es lo que pretende mejorar la Unión Europea.

Las buenas intenciones

Pues la Comisión Europea tiene intención de definir estándares y practicas comunes para crear la necesaria infraestructura y certificaciones para establecer un marco de gobernanza común por el uso compartido de datos electrónicos de salud.

Esto permitirá un mayor control de los individuos sobre sus datos, facilitando el acceso y la compartición con los profesionales sanitarios. Y por otro lado, facilitará el trabajo de estos profesionales permitiendo el acceso a la historia médica del paciente, incrementando la base de conocimiento para tomar más decisiones sobre el diagnóstico y el tratamiento de los pacientes.

Los retos (o peligros)

Millones de datos de salud, que recordemos son de categoría especial, gestionados por pacientes y profesionales de la sanidad suponen un reto gigantesco para una UE comprometida, unida y sin fisuras, con la protección de datos.

Y, ¿cuáles son estos retos? Repasemos los principales.

Requerir el consentimiento del paciente para compartir los datos de salud. Y como bien recoge el Reglamento, el consentimiento debe ser explícito, inequívoco, que refleje una manifestación libre, informada de aceptar el tratamiento de datos que le concierne. Y el derecho de retirar el consentimiento en cualquier momento. No parece que la UE lo tenga muy claro. Más bien lo contrario.

Limitar la definición de datos de salud. Ahora mismo, el texto define como «datos de salud» un amplio abanico de 15 categorías que van mucho más allá de lo que entendemos, estrictamente hablando, por información sobre la salud o la atención médica de los pacientes. Algunos ejemplos de datos propuestos como de «salud»: seguro, estatus profesional, educación, consumo de sustancias, bienestar, comportamiento, estilo de vida, … Claramente excesivo, a mi juicio.

Hacer que las finalidades permitidas para el uso de los datos sean precisas y legítimas

La lista de finalidades permitidas del tratamiento de datos de salud es demasiado larga y demasiado inconcreta: por ejemplo, los gobiernos pueden dar acceso a cualquier tercero que considere conveniente para garantizar «altos niveles de calidad y seguridad sanitaria y de medicamentos o dispositivos médicos». El redactado parece hecho por una empresa farmacéutica.

La seguridad de los datos debe ser la máxima prioridad

Una obviedad pero no por ello lo dejaremos de decirlo. Datos sensibles de más de 450 millones de europeos en centros de datos centralizados, es un pastel demasiado llamativo para los ciberdelincuentes. El valor en el mercado negro de estos datos en el mercado negro es incalculable. El daño que puede provocar un ciberataque, también. El reciente episodio del Clínic de Barcelona es un ejemplo de ello.

Conclusiones

Las ventajas de la iniciativa son evidentes. Los peligros, también. Si a este escenario le añadimos Inteligencia Artificial o Big Data, tenemos servido el cóctel explosivo. Y hablamos no sólo del primer uso de los datos (la asistencia sanitaria) sino también del uso secundario, aquel que permite transferir datos a organismos, industrias, investigadores, reguladores, etc. con el fin de mejorar la atención sanitaria, la investigación, la innovación y las políticas.

Veremos. De momento, cuidémonos porque si no lo hacemos nosotros, ¡no sé si lo hará nadie!

¿Privacidad sin límites?

por

La pregunta es, ¿Qué distingue a las violaciones de la privacidad de otros daños?  Eso es lo que plantea un papel americano, «Distinguishing privacy law: a critique of privacy as social taxonomy«.

La tesis que sostienen los autores es que durante el siglo XX los estudiosos de la privacidad intentaron definir el concepto ilusorio de la privacidad. No tuvieron éxito. Con el cambio de milenio, llegó un nuevo enfoque: una taxonomía de problemas de privacidad basada en el reconocimiento social. Hemos convertido el concepto con un catálogo de casos abandonando la definición de su objeto central. Y ya es hora de repensar el concepto de privacidad en un entorno de información complejo y por qué, dado un problema social –de la discriminación a la desinformación–, vale la pena estudiarlo en un marco de privacidad.

Privacidad

¿Y qué entendemos por Privacidad? Pues no tenemos una definición pacífica. Pero podemos definirla como el derecho que tenemos a preservar nuestra vida íntima (derecho al honor, la intimidad y a la propia imagen como recoge nuestra Constitución) y que no sea accesible a otros sin nuestro consentimiento. Y esta definición incluye el concepto Privacidad Digital que es el bien jurídico que la normativa de protección de datos quiere salvaguardar.

Y la Privacidad Digital es el derecho de los usuarios a proteger sus datos en Internet y decidir qué información personal pueden ver los demás. Y qué información pueden utilizar y por qué. Es una expectativa legítima que tenemos como personas de poder administrar nuestra «huella digital».  Ser, en definitiva, soberanos de nuestros datos. Nos jugamos nuestra reputación digital, nuestro patrimonio intangible más importante.

¿Privacidad sin límites?

La tecnología evoluciona cada día y plantea importantes problemas de privacidad. Necesitamos experiencia para comprender estos problemas y encontrar soluciones imaginativas. Pero la privacidad no debería prevalecer sobre cualquier otra cuestión, del mismo modo que las otras cuestiones no deberían prevalecer automáticamente sobre la privacidad. Ambos intereses deben hacer concesiones y encontrar un resultado equilibrado.

Nuevos retos, nuevas soluciones

Muchas tecnologías existentes y casi todas las nuevas plantean importantes problemas de privacidad. Sólo hay que ver, en este sentido, el impacto que ha supuesto ChatGPT y aplicaciones similares. Ya hemos visto respuestas de todo tipo, desde prohibir su utilización (por ejemplo, en Italia que ya han dado marcha atrás) hasta investigar a fondo como, por ejemplo, la AEPD que ya inició de oficio actuaciones de investigación de OpenAI, propietaria de ChatGPT.

Ante los nuevos retos, hay que articular nuevas soluciones. El RGPD promueve la «privacidad por diseño«, es decir, ante cualquier iniciativa considerar las implicaciones de privacidad desde el principio. Esto debe ser así sin convertirse en guardianes que impidan o menoscaben el desarrollo empresarial.

Por qué esto no ha hecho más que empezar. Hay que trabajar juntos para encontrar un equilibrio entre el derecho a la privacidad y la libertad necesaria para que el mundo que conocemos no se detenga con una censura desbordada.

¡Cuidaos, como siempre!

ChatGPT: Ángel o Demonio

por

Así se titulaba la sesión de ayer de El Mirador Indiscret, unas sesiones de debate que periódicamente organiza el Col·legi del Màrqueting i la Comunicació de Cataluña sobre temas de actualidad e interés para los colegiados.

Y la de ayer no podía ser más oportuna ni de más interés. Oportuna porque ChatGPT es, sin duda, la tecnología del momento de la que todo el mundo habla. Sólo viendo la velocidad en la tasa de adopción (mes de 100 millones de usuarios en dos meses) nos podemos hacer la idea. Y de interés, más que nunca, por toda la profesión: creativos, copys, directores de arte, … por las implicaciones que tendrá en su trabajo.

Viendo la inversión de Microsoft y la incorporación de ChatGPT en su buscador Bing podemos pensar que esto no ha hecho más que empezar. Y de la importancia que tiene, Gerard Oliveras puso dos ejemplos muy recientes.

El primero, el pánico de Google cuando Microsoft anunció la incorporación que fue épico. De repente, la todopoderosa Google recibía una sacudida de dimensiones difíciles de evaluar aún en su «core business», el buscador. Ahora parece más interesante buscar a Bing con ChatGPT que en Google. Y nadie lo vio venir.

Y la segundo, la intensa aplicación de la inteligencia artificial a sus procesos de negocio por parte de Shein, la distribuidora textil, que le proporciona una ventaja competitiva frente a Inditex, H&M y otros competidores. El time to market resulta ser mucho más competitivo, tanto en tiempo como en diseño. Su app fue la más descargada en compras en Estados Unidos el año pasado. A tener en cuenta.

Y, claro, después de glosa las maravillas de la herramienta, y sin querer desinflar el soufflé, era necesario tocar el tema de la protección de datos. Para ello, Gina Tost (Secretaría de Políticas Digitales de la Generalitat) se encargó, desde el punto de vista de la Administración, de valorar la irrupción de estas tecnologías, las amenazas que se prevén, los derechos y deberes digitales afectados y, naturalmente, de la importancia del marco regulador y cómo se está trabajando en este sentido.

Y en este sentido, debemos señalar que el bien jurñidico a proteger es la Privacidad Digital. Es el derecho que tenemos a los usuarios de proteger nuestros datos en internet y decidir qué información pueden ver los demás, qué información pueden utilizar y con qué finalidad y cómo ejercer nuestros derechos. Es una expectativa legítima que tenemos como individuos de poder administrar nuestra «huella digital«, entendida como la avalancha de datos personales que generamos cada día y que, en definitiva, determinan nuestra reputación digital.

Como decíamos al principio, esto no ha hecho más que empezar. ChatGPT no es, ni mucho menos, la única herramienta de inteligencia artificial a nuestro alcance. Ahora mismo las podemos contar por centenares, con todas las derivaciones imaginables. Incluso, ya aparecen trabajos tan específicos como el de «prompt engineer«, aquel profesional que desarrolla y optimiza la comunicación con los algoritmos para obtener el mejor resultado.

Frente a este tsunami tecnológico que se nos viene encima, la normativa de protección de datos es el instrumento a nuestro alcance para mantener la soberanía de nuestros datos. Tenemos que tener el control porque, de otro modo, habrá que repensar si el viaje vale la pena.

Como siempre, cuidad vuestros datos y cuidaos!

«Sentir el control». Es todo lo que se pide.

por

Según el último Informe que la empresa de investigación de mercados Ipsos ha hecho por Google, «Privacidad desde el diseño: los beneficios de dar el control a la gente«, las empresas que basan sus negocios en la explotación de los datos personales de los usuarios empiezan a valorar la aplicación de políticas de protección de datos que permita a los usuarios tener la percepción de que sus datos personales serán tratados de forma adecuada.

Los usuarios prefieren ver anuncios relevantes y útiles y están abiertos a compartir sus datos con las marcas, pero quieren sentir el control de cuándo lo hacen. Mejorar la sensación de control que la gente tiene sobre sus datos es una manera poderosa para que las marcas generen confianza, aumenten la eficacia del marketing y obtengan mejores resultados.

Principales conclusiones del Informe

  1. Proporcionar una experiencia de privacidad positiva puede aumentar la cuota de preferencias de marca en un 49%.
    Tras una experiencia de privacidad positiva con su marca de segunda elección, el 49% de las personas dijeron que cambiarían de su marca preferida a la segunda marca.
  2. Equivocarse en la experiencia de privacidad tiene un impacto negativo tanto en la confianza como en las preferencias de marca.
    Para muchos de los participantes en el estudio, las experiencias de privacidad que no tenían transparencia o que no proporcionaban conocimiento y/o autonomía al cliente eran muy perjudiciales, tanto para la confianza de la marca como para las preferencias de los participantes.
  3. Hay poderosas prácticas de privacidad que las marcas pueden desplegar para aumentar las sensaciones de control, y las combinaciones más efectivas tienen un impacto positivo notable en algo más que los sentimientos de control.
    Para obtener el mayor impacto positivo en las sensaciones de control, las marcas deberían desplegar una combinación probada de prácticas que creen experiencias de privacidad Significativas, Memorables y Manejables.

El estudio sugiere que las marcas que pueden ofrecer estas experiencias verán, con el paso del tiempo, un efecto bola de nieve positivo: la gente sentirá que tiene el control, lo que aumenta la confianza de la marca y aumenta las preferencias de la marca. Las marcas que descuiden la privacidad corren el riesgo del escenario contrario. El camino hacia el éxito es claro: adoptar prácticas basadas en las tres características mencionadas (Significativas, Memorables y Manejables) para dar a las personas una sensación de control y mejorar la eficacia del marketing.

“Sentir” el control

Para los usuarios, «sentir» el control es algo más que tener el control. Las herramientas de privacidad que permiten a las personas cambiar sus preferencias de cookies y darse de baja del marketing por correo electrónico pueden ayudarles a mantener control de sus datos. Pero estas herramientas no son suficientes para proporcionar a los clientes la sensación más sustancial de control que necesitan para confiar en una marca. Los clientes también quieren saber cuándo y por qué comparten su información y entender las ventajas que recibirán de hacerlo.

Para concluir, diremos que las marcas tienen que hacer un esfuerzo para que el cliente tenga la percepción de que tiene el control sobre su privacidad y que, naturalmente, lo tenga. Si sabemos qué datos compartimos y cómo nos beneficia a nosotros hacerlo, la empresa tiene que ser leal con nosotros. A cambio, tendrá nuestra confianza, lo que se traducirá, a buen seguro, en mejores ventas.

¡Y, como siempre, cuidaos!

No todo serán cookies

por

Además de los cookies o el píxel de Facebook, hay otras técnicas para intentar predecir los intereses de los usuarios y hacer que compren el producto, que es el final el que interesa a las empresas. Entre estas técnicas apuntamos hoy el análisis de comportamiento que tiene, cada día más, un gran predicamento en el área de ciberseguridad, la salud y la seguridad de las personas y, cómo no, en el campo de los servicios y el marketing.

El análisis de comportamiento de usuarios (UEBA, por sus siglas en inglés) que se utiliza en los servicios de Internet recogen grandes cantidades de datos de usuarios o entidades, aplicando, casi siempre, técnicas de machine learning  (aprendizaje automático o de Inteligencia Artificial (IA) para generar modelos de comportamiento.

Y esta técnica también se puede aplicar en el ámbito del marketing para entender mejor el comportamiento de los consumidores y mejorar la experiencia del usuario en el sitio web o la aplicación móvil. No obstante, la implementación de UEBA en el marketing también plantea preocupaciones sobre la privacidad y protección de datos personales de los usuarios.

El análisis de comportamiento de usuarios en el marketing implica el uso de datos de registro de eventos para entender cómo los usuarios interactúan con el sitio web o la aplicación móvil. A través del análisis de estos datos, los especialistas en marketing pueden identificar patrones de comportamiento de los usuarios, incluyendo cómo interactúan con la página, qué productos o servicios buscan, qué contenidos les interesan, entre otros.

Estos datos pueden ser extremadamente valiosos para las empresas, ya que les permiten personalizar la experiencia del usuario y ofrecer contenido y ofertas que sean más relevantes para ellos. Por ejemplo, un sitio web de comercio electrónico puede utilizar el análisis de comportamiento de los usuarios para identificar los productos que los usuarios están buscando con más frecuencia y ofrecer ofertas especiales en estos productos.

No obstante, el uso de UEBA en el marketing también plantea desafíos significativos en términos de privacidad y protección de datos personales. Los datos de registro de eventos utilizados en el análisis de comportamiento de usuarios pueden incluir información personal y confidencial, como direcciones IP, información de navegación, información de compras y otra información relacionada con la actividad del usuario en el sitio web o la aplicación móvil.

Como siempre, dos caras de la moneda. Una ventaja tecnológica que tiene la cruz en la privacidad del usuario. Recuerda la AEPD que los principios del RGPD son de obligado cumplimiento, incluyendo el principio de transparencia. Y muchas veces los usuarios no somos informados debidamente.

Es necesario que estemos siempre alerta. ¡Cuidémonos!

A la tercera, ¿va la vencida?

por

El Acuerdo Transatlántico de Protección de Datos (ATP) es un nuevo marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo fue anunciado en febrero de 2021, después de meses de negociaciones, y busca proporcionar un marco actualizado y más sólido para la transferencia de datos personales.

El Acuerdo

El ATP se basa en un conjunto de normas y compromisos que los proveedores de servicios deben cumplir para garantizar que los datos personales sean tratados de manera justa y transparente. Estas normas incluyen la obligación de los proveedores de servicios de proporcionar información clara y concisa sobre cómo se utilizarán los datos personales, así como el derecho de los individuos a acceder y rectificar sus datos personales.

El ATP también establece una serie de controles y medidas de seguridad para proteger los datos personales de los ciudadanos europeos. Estas medidas incluyen la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, así como la obligación de notificar a las autoridades pertinentes en caso de una violación de datos.

Además, el ATP se centra en la supervisión y el cumplimiento. El ATP establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas que no cumplan con los requisitos del ATP se enfrentarán a sanciones y medidas disciplinarias.

Una de las principales diferencias entre el ATP y sus predecesores es que el ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales. Estos compromisos incluyen la promesa de que las autoridades de Estados Unidos solo podrán acceder a los datos personales de los ciudadanos europeos en casos específicos y limitados, y solo si se han agotado otras opciones. Además, el gobierno de Estados Unidos se ha comprometido a crear un mecanismo de recurso independiente para que los ciudadanos europeos puedan presentar quejas y buscar reparación en caso de que se produzcan violaciones de datos.

La falta de acuerdo anterior

El acuerdo anterior, Privacy Shield (Escudo de Privacidad), fue diseñado para proporcionar un marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo se basaba en una serie de compromisos y garantías por parte del gobierno de Estados Unidos en relación con la protección de datos personales.

Sin embargo, en julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) declaró la invalidez del Privacy Shield, argumentando que el marco no garantizaba adecuadamente la protección de los datos personales de los ciudadanos europeos en manos de las empresas estadounidenses.

La decisión fue recibida con preocupación por las empresas que dependen de la transferencia de datos entre Europa y Estados Unidos para llevar a cabo sus operaciones. Las empresas que no pudieron cumplir con los requisitos de Privacy Shield se vieron obligadas a suspender o restringir sus operaciones en Europa.

El impacto en las empresas

El impacto más obvio del ATP en las empresas es que tendrán que cumplir con nuevos requisitos en relación con la protección de datos personales. Esto puede implicar la revisión y actualización de las políticas y prácticas de privacidad, la implementación de nuevas medidas de seguridad, la contratación de personal adicional y la adopción de nuevas tecnologías para garantizar el cumplimiento del ATP.

Las empresas también tendrán que garantizar que las medidas de seguridad técnicas y organizativas que implementan para proteger los datos personales sean adecuadas y eficaces. El ATP establece la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, y esto significa que las empresas tendrán que revisar y actualizar sus medidas de seguridad para garantizar que sean suficientes para proteger los datos personales.

El ATP también establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas tendrán que asegurarse de que están cumpliendo con los requisitos del ATP y estar preparadas para enfrentar sanciones y medidas disciplinarias si no lo hacen.

Otro impacto importante del ATP es que las empresas tendrán que prestar atención a los cambios en la regulación y las prácticas de privacidad en Europa y Estados Unidos. El ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales, y esto significa que cualquier cambio en la regulación o las prácticas de privacidad en Estados Unidos puede tener un impacto en el cumplimiento del ATP.

Además, el ATP puede tener un impacto en la reputación y la confianza de la empresa. Los clientes y los consumidores pueden valorar cada vez más la privacidad y la seguridad de los datos personales, y las empresas que no cumplan con los requisitos del ATP pueden enfrentar críticas y pérdida de confianza por parte de sus clientes y consumidores.

Sin embargo, también hay algunos beneficios para las empresas que cumplen con los requisitos del ATP. Por ejemplo, el cumplimiento del ATP puede mejorar la protección de los datos personales y reducir el riesgo de violaciones de datos, lo que puede tener un impacto positivo en la reputación de la empresa y en la confianza de los clientes y consumidores.

Además, el cumplimiento del ATP puede ayudar a las empresas a cumplir con otras regulaciones y estándares de privacidad en todo el mundo. Muchos países y regiones tienen leyes y regulaciones de privacidad similares al ATP.

Resumen

El Acuerdo no es firme todavía y quizás pasen meses hasta que se ratifique. Mientras tanto, empresas como Meta ya han amenazado con suspender sus transferencias. Teniendo en cuenta que Facebook, Instagram o Whatsapp pertenecen al grupo, el impacto para usuarios, empresas y anunciantes puede ser, en términos sociales, económicos y hasta políticos, de una magnitud muy difícil de prever.

En cualquier caso, ¡cuidad vuestras transferencias internacionales y cuidaos vosotros!

MWC23, reconocimiento facial e inquietudes de privacidad

por

No es ningún secreto que la tecnología nos puede facilitar mucho la vida a las personas. Por ejemplo, a la hora entrar en el Mobile World Congress 2023. Llegas a la entrada al mismo momento que otros centenares de ciudadanos y la primera preocupación es imaginarnos una hora haciendo cola en los mostradores de acreditación. Pero no, la primera agradable sorpresa es que no hay cola. Literal. Si has hecho los deberes y dispones de tu pase de acceso digital, puedes pasar sin detenerte mediante la tecnología de reconocimiento facial. Voilà!

¿Qué es el MWC23?

Según la organización, el MWC es el evento de conectividad más grande e influyente. Y estoy seguro de que lo es. Si, según la RAE, la pornografía es la pólvoraabierta y cruda del sexo que busca producir excitación en el receptor, podemos calificar el espectáculo del Congreso como de tecnográfico.  Busca provocar la excitación en el espectador a base de presentarle abierta y crudamente las más avanzadas tecnologías. Y se ha convertido en una orgía desenfrenada de luz, de color, de imágenes de proporciones gigantescas, de sonidos, comunicaciones, espectáculos, relaciones profesionales, negocio y datos. Sobre todo, datos. Desmesuradas como poco.

La cuestión

Es muy simple. Debemos responder a la siguiente pregunta: a cambio de qué estamos dispuestos a ceder, y en qué parte, la soberanía de nuestros datos, nuestra soberanía digital.

Nuestra imagen en miles de fotografías, centenares de cámaras de vigilancia o, incluso, en selfies hechos en el stand de Samsung. Nuestros datos, incluso biométricos, esparcidos por centenares de empresas que los utilizarán, legítimamente, para múltiples propósitos. Todo impulsado por las últimas tecnologías: Big Data, Inteligencia Artificial, Machine learning, … de las que todavía no tenemos una idea clara de su alcance. ¡Asusta!

Política de Privacidad del MWC: que levante la mano quien la haya leído.

Sí, se tienen que leer, como todo. Y, como todo, no se leen. Vaya de antemano que la Política de Privacidad cumple con todos los requisitos que impone el RGPD. Y sortea bastante bien todas las dificultades que se presentan para regular el uso de tantos datos y de naturaleza tan variada. Podríamos ponerlas, incluso, como modelo para otras organizaciones.

Eso no quita que si paremos en algunas de las cláusulas, éstas resultan escalofriantes. Por ejemplo, la cantidad de datos que proporcionamos voluntariamente (incluidas las biométricas del reconocimiento facial), las informaciones que se recogen automáticamente y las que proporcionan terceras partes (a quienes hemos proporcionado voluntariamente la información).

Pasamos después a ver con quién comparten la información y vemos que lo hacen con empresas afiliadas, agentes, vendedores o proveedores de servicios, compradores potenciales y por imperativo legal. Y además, con cualquier otra persona cuando hayamos consentido la divulgación.

Y en cuanto a la transferencia internacional de datos (fuera del Área Económica Europea, Suiza y UK), nuestros datos biométricos están gestionados por una empresa con base en Hong-Kong. Y si se transfieren a otros países no adecuados, se hace con el apoyo de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

En fin, muchas partes móviles (no es un chiste) en el esquema. Muchos datos, de muchas personas y que gestionan muchas empresas en una variedad de circunstancias. Definitivamente, muy complejo.

Vale decir, también, que nos ofrecen muchas maneras de controlar nuestra información. Repito, todo conforme a ley. Y esta Política de Privacidad puede servir de modelo para otros textos de privacidad.

¿Qué podemos hacer?

Pues preocuparnos nosotros mismos por nuestra privacidad. Está bien que las empresas se preocupen de ello, es su obligación, pero nosotros no podemos rehuir de la nuestra. La privacidad, bien entendida, empieza por uno mismo (como decía un viejo anuncio). Y nuestra privacidad debe ser activa, militante, dispuestos a defenderla en cualquier circunstancia. No podemos tener ninguna expectativa de privacidad si nosotros no somos muy respetuosos con ella. No puede ser de otra manera.

Y para pasar a la acción, lo primero que necesitamos es saber qué sabe Internet de nosotros. Esto lo podemos hacer gracias a nuestro Servicio de Huella Digital apoyados por nuestro partner Youforget.me. A partir de aquí, os ayudaremos a retomar lo que nunca teníamos que haber perdido: la soberanía de nuestros datos.

De pequeño, mis padres siempre me advertían que no aceptara nunca caramelos de desconocidos. Y ahora, de mayor, no hago otra cosa todo el día. ¡Cuidáis vuestra privacidad!

Revisión Textos Legales Web