Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

¿Qué medidas de seguridad deben implementar las empresas en relación a la protección de datos en España?

por

Las empresas en España deben implementar diversas medidas de seguridad para cumplir con la normativa de protección de datos y garantizar la privacidad de los datos personales.

Repasemos las medidas principales:

Implementación de políticas y normativas de seguridad informática: Es fundamental para proteger los activos digitales y establecer los procedimientos necesarios para prevenir y mitigar los riesgos cibernéticos.

Concienciación y formación en ciberseguridad: La concienciación y formación son aspectos cruciales para promover una cultura de seguridad en las organizaciones.

Educación y concienciación constante: Es crucial promover la educación en ciberseguridad desde el inicio y fomentar la concienciación continua en todos los niveles, no solo a los directivos sino también a los empleados de las organizaciones.

Colaboración público-privada: La cooperación entre el sector público y privado es esencial para hacer frente a los desafíos de seguridad digital, compartiendo información, buenas prácticas y recursos para fortalecer la protección.

Adaptación a las nuevas amenazas: Las organizaciones deben estar preparadas para hacer frente a las nuevas y sofisticadas formas de ciberataques, actualizando constantemente sus sistemas de seguridad y adoptando medidas preventivas más sólidas.

Rol de la inteligencia artificial y otras tecnologías emergentes en la protección de datos: La inteligencia artificial (IA) y otras tecnologías emergentes están desempeñando un papel cada vez más importante en la protección de datos. Hay que ser capaz de aprovechar su potencial. Formarse es una obligación.

Identificación de riesgos y análisis de brechas de seguridad: La identificación de riesgos y el análisis de brechas de seguridad son procesos fundamentales en el marco de la normativa de Protección de Datos, tanto para garantizar la ciberseguridad como para cumplir con los requisitos de privacidad.

Notificación de brechas de seguridad: Recordemos que se debe notificar cualquier brecha de seguridad a la AEPD en un plazo máximo de 72 horas.

Medidas técnicas y organizativas: Implementar medidas de ciberseguridad como el uso de software de protección, el cifrado de datos o las políticas adecuadas de autenticación resultan indispensables para el cumplimiento de la Ley.

Políticas de seguridad y formación en ciberseguridad: La definición de políticas de seguridad y la formación en ciberseguridad del personal de forma proactiva son medidas organizativas previstas por la Ley de Protección de Datos.

Responsable de protección de datos: Las empresas con un gran volumen de datos —más de 50.000 registros— y aquellas de cualquier tamaño que manejen información como los centros docentes, los sanitarios y las empresas de marketing, han de contar con un responsable de protección de datos.

Certificado ISO 27001: La certificación ISO 27001 es una garantía para la seguridad de los datos personales.

Implementación de sistemas de auditoría y monitorización: La implementación de sistemas de auditoría y monitorización capaces de realizar un seguimiento de las actividades relacionadas con el tratamiento de datos es una medida de ciberseguridad prevista por la Ley de Protección de Datos.4

DPD (Delegado de Protección de Datos): El DPD es un profesional que se encarga de garantizar el cumplimiento de la normativa de protección de datos en las empresas.

Esquema Nacional de Seguridad: El Esquema Nacional de Seguridad es un instrumento clave para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras.

Estas medidas de seguridad están diseñadas para proteger los datos personales y garantizar la privacidad de los ciudadanos, cumpliendo con la normativa de protección de datos en España y la normativa europea.

No bajemos la guardia. Los datos personales no pueden estar en riesgo. Nos jugamos mucho como empresa y como personas.

Y como siempre, ¡cuidaos!

Marketing digital y Privacidad: condenados a entenderse

por

Introducción

El marketing digital ha llegado a un cruce de caminos crítico, influenciado por avances tecnológicos y una concienciación pública creciente sobre la privacidad de los datos. Empresas en todo el mundo buscan navegar en este panorama complejo, equilibrando estrategias innovadoras de marketing con la necesidad imperante de proteger la privacidad del usuario. Este equilibrio es crucial no solo para la retención de la confianza del consumidor sino también para la conformidad con regulaciones internacionales crecientemente estrictas como el RGPD en Europa, la CCPA en California y la LGPD en Brasil.

Tendencias Actuales en Marketing Digital

Las tendencias actuales en marketing digital destacan la personalización y automatización, potenciadas por la inteligencia artificial (IA) y el Big Data. Sin embargo, esta recogida masiva de datos ha disparado las alarmas sobre la privacidad. Un ejemplo claro es Facebook, que tras el famoso escándalo de Cambridge Analytica, reforzó sus políticas de privacidad y revisó sus prácticas de recopilación de datos. Aun así, sigue muy lejos de cumplir con los estándares mínimos de privacidad y todas sus actuaciones en este sentido levantan críticas (la última, por ejemplo, “pay or ok” ahora mismo bajo el escrutinio del EDPB –European Data Protection Board). Además, la tendencia de bloqueo de cookies por navegadores como Chrome de Google plantea un cambio significativo, impulsando a las empresas a buscar métodos alternativos de seguimiento y análisis del comportamiento del usuario.

Desafíos de Privacidad en el Marketing Digital

El principal desafío actual reside en el equilibrio entre personalización y privacidad. La necesidad de transparencia y consentimiento se ha vuelto más crítica, como lo demuestra la aplicación del RGPD, que impone estrictas reglas sobre el consentimiento, y la CCPA, que otorga a los consumidores californianos el derecho a conocer qué información personal se recopila sobre ellos. Empresas como Amazon y Google han tenido que adaptar sus prácticas de marketing digital para asegurarse de que están en plena conformidad, evidenciando la importancia de la adaptación regulatoria en la estrategia de marketing global.

Innovaciones Tecnológicas y su Impacto

La innovación tecnológica, como el blockchain y la realidad aumentada, presenta tanto oportunidades como desafíos. Por ejemplo, el blockchain puede ofrecer una nueva forma de seguridad y transparencia permitiendo a los usuarios controlar y monitorizar quién accede a su información. Sin embargo, tecnologías como la realidad aumentada, utilizada por marcas como IKEA en su aplicación IKEA Place, plantean preguntas sobre la recolección de datos sensibles de localización y preferencias personales. La clave estará en desarrollar estas tecnologías asegurando que la innovación no comprometa la privacidad del usuario.

Estrategias Futuras para la Privacidad y el Marketing

Las estrategias futuras deberán enfocarse en la privacidad como un pilar fundamental. La adopción de un enfoque de "privacidad por diseño", donde la protección de datos se integra desde la concepción de productos y estrategias, se volverá más necesaria. Ejemplos incluyen compañías como Apple, que ha integrado la privacidad en su marketing y desarrollo de productos como una ventaja competitiva. Además, el concepto de "zero-party data", donde los consumidores conscientemente comparten información a cambio de un valor claro, ganará tracción como alternativa al seguimiento invasivo.

El Papel de la Regulación y la Ética

La regulación seguirá moldeando el panorama, con posibles desarrollos como una versión estadounidense del RGPD o actualizaciones a la CCPA. La ética en el marketing digital se convertirá en un diferenciador clave, donde las empresas que adopten prácticas transparentes y responsables podrán destacarse. La autorregulación, a través de iniciativas como el Data Privacy Framework (tercer intento de crear un marco que garantice las transferencias internacionales de datos personales a USA), también jugará un papel crucial en la construcción de la confianza del consumidor.

¿Y en adelante?

El futuro del marketing digital deberá caracterizarse por un enfoque más consciente de la privacidad. Las empresas que logren equilibrar la innovación tecnológica con prácticas de protección de datos éticas y transparentes no solo se adherirán a la regulación, sino que también fomentarán una relación de confianza con sus consumidores. En última instancia, la adaptación y la innovación en el respeto de la privacidad no solo es una obligación legal sino una inversión en la lealtad y confianza del cliente a largo plazo. Y, en el fondo, la cuestión principal: premiar la reputación de las empresas, lo que es sinónimo de éxito a largo plazo.

Cookies: lo que toda PYME debe saber para no quedarse atrás

por

En un mundo digital en constante evolución, la gestión de cookies se ha convertido en un reto importante para todas las empresas, en especial para las PYMES que han de afrontar una regulación abrumadora. Con la implementación de nuevas regulaciones en el ámbito de la protección de datos, es imperativo comprender y adaptarse a estas normativas para garantizar un uso adecuado de las cookies en sus sitios web y plataformas online.

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente guías actualizadas, como la "Guía de Cookies" y la "Guía sobre el Uso de Cookies para Herramientas de Medición de Audiencia", que sirven como referencia esencial..

Aquí queremos proporcionar una visión clara y accesible sobre la nueva regulación de cookies, destacando cómo las empresas pueden cumplir con la normativa, sin perder de vista la importancia de la experiencia del usuario, y seguir generando información valiosa para la empresa.

Conceptos básicos sobre cookies

Las cookies, pequeños archivos de texto almacenados en los dispositivos de los usuarios al visitar sitios web, son fundamentales en el entorno digital actual. Su propósito varía desde funciones básicas, como recordar las preferencias de idioma de un usuario, hasta roles más complejos en la publicidad y análisis de datos. Veamos los principales tipos que existen:

Cookies Técnicas: Son aquellas necesarias para el funcionamiento del sitio web. Incluyen cookies que permiten a los usuarios navegar a través de la página y utilizar sus diferentes opciones o servicios.

Cookies de Personalización: Permiten al sitio recordar información que cambia la forma en que se comporta o se muestra el sitio, como el idioma preferido o la región en la que se encuentra el usuario.

Cookies de Análisis: Recolectan información sobre el uso que se hace del sitio web. Se utilizan para medir la actividad del sitio y elaborar perfiles de navegación de los usuarios, con el fin de introducir mejoras.

Cookies Publicitarias: Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Es importante entender que el uso de cookies no solo facilita una experiencia de usuario más personalizada y eficiente, sino que también implica responsabilidades significativas en términos de protección de datos. La nueva regulación de la AEPD pone un énfasis especial en la transparencia, asegurando que los usuarios sean plenamente conscientes de qué cookies están siendo utilizadas y con qué fin.

Nueva Regulación de Cookies y su Impacto en las empresas

La nueva regulación de cookies, impulsada por la Agencia Española de Protección de Datos (AEPD), trae consigo una serie de cambios significativos que afectan directamente a las empresas. Estos cambios están centrados en garantizar una mayor transparencia y control por parte de los usuarios sobre sus datos personales. Veamos cómo impacta esto en las empresas.

Consentimiento Explícito

La normativa exige que las empresas obtengan un consentimiento claro y explícito de los usuarios antes de instalar cookies en sus dispositivos, excepto en el caso de cookies estrictamente necesarias. Esto significa que las EMPRESAS deben implementar sistemas que permitan a los usuarios aceptar o rechazar las cookies de manera sencilla y comprensible, detallando la finalidad de cada una.

Clasificación y Explicación de Cookies

Es esencial que las empresas clasifiquen correctamente las cookies que utilizan y proporcionen información detallada sobre su propósito. Esto incluye diferenciar entre cookies propias y de terceros, técnicas, de personalización, de análisis y publicitarias. Una política de cookies clara y accesible es fundamental.

Registro del Consentimiento

Las empresas deben ser capaces de demostrar que han obtenido el consentimiento del usuario. Esto implica mantener un registro de consentimientos que pueda ser verificado en caso de inspección por parte de las autoridades reguladoras.

Impacto en la Operativa de la Empresa

Las empresas deben revisar y, en muchos casos, modificar sus prácticas actuales en relación con el uso de cookies. Esto puede implicar ajustes técnicos en sus sitios web, así como la formación del personal sobre las nuevas normativas.

La nueva regulación no solo busca proteger los datos de los usuarios, sino también fomentar una mayor confianza en los servicios digitales, algo esencial para las empresas que buscan crecer y consolidarse en el mercado digital. La adaptación a estas regulaciones no es simplemente una cuestión legal, sino también una oportunidad para mejorar la relación con los clientes y la reputación de la empresa.

Finalidad de las Cookies Publicitarias

Las cookies publicitarias juegan un papel crucial en el ecosistema digital, especialmente para las empresas que buscan optimizar sus estrategias de marketing y publicidad en línea. Sin embargo, con la nueva regulación, es esencial comprender su finalidad y cómo utilizarlas de manera que respete tanto la normativa como los derechos de los usuarios.

¿Qué son las Cookies Publicitarias?

Las cookies publicitarias son utilizadas para recopilar información sobre los hábitos de navegación de los usuarios. Esta información permite a las empresas y anunciantes mostrar publicidad personalizada, basada en el perfil del usuario. Estas cookies pueden rastrear a los usuarios a través de diferentes sitios web, creando un perfil detallado de sus intereses y comportamientos en línea.

Importancia para las empresas

Para las empresas, las cookies publicitarias pueden ser una herramienta valiosa para dirigir las campañas de marketing de manera más efectiva. Permiten segmentar a la audiencia, optimizar el gasto publicitario y mejorar la relevancia de los anuncios para los usuarios. Sin embargo, este tipo de cookies requiere un consentimiento explícito por parte del usuario, debido a su naturaleza intrusiva.

Cumplimiento de la Normativa

Las empresas deben asegurarse de que el uso de cookies publicitarias esté en plena conformidad con las directrices de la AEPD. Esto incluye obtener un consentimiento claro y explícito, proporcionar información detallada sobre qué datos se recogen y cómo se utilizan, y ofrecer a los usuarios la posibilidad de retirar su consentimiento en cualquier momento.

Consejos para un Uso Responsable

  • Ser transparentes sobre el uso de cookies publicitarias y su finalidad.
  • Ofrecer opciones claras para aceptar o rechazar estas cookies.
  • Utilizar alternativas menos intrusivas cuando sea posible.

El uso responsable y transparente de las cookies publicitarias no solo asegura el cumplimiento de la normativa, sino que también contribuye a construir una relación de confianza con los usuarios, elemento clave para el éxito a largo plazo de cualquier empresa.

Cobro por Rechazar Cookies en las Páginas Web

Uno de los aspectos más novedosos y debatidos de la nueva regulación de cookies es la disposición que permite el cobro por rechazar cookies en las páginas web.

En pocos días se han hecho famosos los conocidos como “muros de pago” en periódicos y otras webs con contenidos de suscripción. La idea que subyace es que, si no puedo monetizar tus datos, tengo que cobrar para seguir manteniendo el medio en funcionamiento. Ejemplo claro de lo que hemos dicho muchas veces: nada es gratis y si no pagas con dinero, pagas con datos. Esta máxima se expone ahora con toda crudeza.

Como las condiciones de la última Guía eran muy restrictivas porque se exigía el consentimiento para aceptar las cookies (y, digámoslo todo, la importantísima caída de la aceptación de cookies), la AEPD ha decidido abrir un resquicio legal para poder eximir del consentimiento en determinadas circunstancias.

Esta oportunidad para las empresas aparece recogida en la Guía sobre el uso de las cookies, con el siguiente literal: “Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies”.

La finalidad de estas cookies debe estar estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación. Este tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizadas para producir datos estadísticos anónimos únicamente.

Y el uso está acotado por garantías que impone la propia AEPD y que vienen detalladas en la Guía de Uso de cookies para herramientas de medición de audiencia.

Estrategias de Monetización y Consentimiento

Las empresas deben buscar estrategias de monetización que no infrinjan los derechos de los usuarios. Esto incluye ser transparentes sobre cualquier tipo de beneficio o servicio adicional ofrecido a cambio del consentimiento para usar cookies. Las tácticas como los muros de pago o los beneficios exclusivos para usuarios que aceptan cookies deben ser manejados con cuidado para asegurar que no se perciban como una penalización al rechazo de cookies.

Información Clara y Accesible

Es fundamental que las empresas proporcionen información clara y accesible sobre cómo el consentimiento (o su falta) para el uso de cookies afecta la experiencia del usuario en el sitio. Esta comunicación debe ser directa, evitando términos técnicos complejos, para que todos los usuarios, independientemente de su nivel de conocimiento técnico, puedan entender las implicaciones de su elección.

Implementación Práctica

Para las empresas, la implementación de estas directrices significa equilibrar sus necesidades de negocio con el respeto a la privacidad del usuario. Es aconsejable revisar las prácticas actuales de consentimiento de cookies y adaptarlas para cumplir con la normativa, asegurando al mismo tiempo que la estrategia de monetización del sitio web sigue siendo viable y efectiva.

El enfoque en la transparencia y el respeto a la elección del usuario no solo cumple con la regulación, sino que también puede fortalecer la confianza y la lealtad del cliente hacia la marca.

Alternativas al Uso de Cookies

Mientras las cookies siguen siendo una herramienta común en la gestión de sitios web, las nuevas regulaciones y la creciente preocupación por la privacidad de los datos han llevado a muchas empresas a buscar alternativas. Herramientas como Matomo o Fathom emergen como opciones viables, ofreciendo soluciones de análisis web que respetan la privacidad del usuario.

Ventajas de Estas Herramientas

Cumplimiento de la Normativa: Al no depender de cookies que rastrean datos personales, estas herramientas ayudan a las PYMES a cumplir con las regulaciones de protección de datos.

Respeto a la Privacidad del Usuario: Ofrecen una alternativa más respetuosa con la privacidad, lo cual es valorado por muchos usuarios conscientes de sus datos.

Datos de Calidad: Aunque no recopilan datos a nivel individual, proporcionan información valiosa sobre el comportamiento general en el sitio web, lo cual es suficiente para muchas estrategias de marketing digital.

El uso de estas herramientas alternativas no solo muestra un compromiso con la privacidad y el cumplimiento normativo, sino que también puede mejorar la percepción de la marca entre los usuarios preocupados por la seguridad de sus datos.

Conclusiones

En resumen, la nueva regulación de cookies representa un desafío importante, pero también una oportunidad valiosa para las PYMES. Adaptarse a estas normativas no solo es una cuestión de cumplimiento legal, sino también un paso hacia la construcción de una relación más transparente y confiable con los clientes. Es esencial que las PYMES comprendan no solo las obligaciones que impone la normativa, sino también el espíritu que la guía: el respeto por la privacidad del usuario y la transparencia en el tratamiento de datos.

Como siempre, seamos respetuoso con la normativa y ¡cuidaos!

Día Europeo de la Protección de Datos 2024

por

El 28 de gener de cada any, se celebra el Dia Europeu de la Protecció de Dades. En una època marcada per la transformació digital, aquest dia no és només una commemoració; és un recordatori vital de la importància de salvaguardar la informació personal i empresarial. Per als directius de les petites i mitjanes empreses (PIMES) , aquesta data simbolitza una oportunitat per reflexionar i actuar sobre com gestionen i protegeixen les dades en les seves organitzacions.

La protecció de dades ja no és només una qüestió de compliment legal, sinó un aspecte crític que influeix en la confiança i la reputació d'una empresa. En un món cada vegada més connectat i digitalitzat, els directius de les PIMES s'enfronten a desafiaments únics. No només s'han d'assegurar que les seves empreses compleixin amb les regulacions vigents, sinó també preparar-se per als canvis futurs en el panorama de la privacitat de dades. El Dia Europeu de la Protecció de Dades 2024 ens ofereix una excel·lent oportunitat per explorar aquests temes i entendre millor com poden impactar a les PIMES .

La Creixent Importància de la Protecció de Dades

Expansió Digital i Vulnerabilitats de Dades en el Context Actual

L'era digital ha portat amb si un creixement exponencial en la quantitat de dades generades, recopilades i processadores. Aquest fenomen, impulsat per l' avenç tecnològic i l' adopció massiva d' Internet, ha transformat radicalment la forma en què les empreses operen. No obstant això, aquest avanç també ha creat noves vulnerabilitats. Les bretxes de seguretat, els ciberatacs i l'ús indegut de dades personals són amenaces cada vegada més comunes, que poden tenir conseqüències devastadores tant per a individus com per a empreses.

Per a les PIMES, que sovint tenen recursos limitats per a la gestió de dades i la seguretat informàtica, aquest entorn representa un desafiament particular. La protecció de dades ja no és només una qüestió de compliment legal, sinó una necessitat crítica per salvaguardar la integritat empresarial i la confiança dels clients.

Reptes de la Protecció de Dades per al 2024

Nous Desafiaments a l'Era de la Intel·ligència Artificial

A mesura que avancem cap al 2024, el panorama de la protecció de dades enfronta reptes cada vegada més complexos, particularment amb la proliferació de la Intel·ligència Artificial (IA). Aquestes tecnologies, tot i que ofereixen innombrables beneficis, també presenten riscos significatius en termes de privacitat i seguretat de dades. La IA, per exemple, pot processar i analitzar grans volums de dades personals, cosa que planteja preguntes sobre el consentiment, la transparència i el control sobre aquestes dades.

Per a les PIMES, això significa navegar per un terreny encara més complicat. S' hauran de mantenir al dia amb les últimes tecnologies i les seves implicacions en la privacitat de dades, alhora que s' asseguren de complir amb les regulacions existents i emergents. L'adaptació a aquests canvis no només és crucial per evitar sancions legals, sinó també per protegir el seu actiu més valuós: la confiança dels seus clients.

Impacte Específic en les PIMES

Les PIMES, en particular, enfronten desafiaments únics en aquest context. Moltes d' aquestes empreses estan en el procés de digitalització i poden no tenir els recursos o l' experiència necessaris per abordar eficaçment els riscos de seguretat de dades. A més, el dinàmic panorama legal europeu i espanyol exigeix una constant actualització i adaptació.

Les PIMES han de prioritzar l' educació i capacitació en protecció de dades, així com la inversió en solucions de seguretat i privacitat adequades. A més, és fonamental que aquestes empreses comprenguin no només les seves obligacions legals, sinó també el valor estratègic d' una gestió de dades eficaç i segura en la construcció de relacions sòlides i duradores amb els clients.

Conclusió

A les portes del Dia Europeu de la Protecció de Dades 2024, és crucial que les PIMES reconeguin la importància d'estar al dia amb les tendències i desafiaments en la protecció de dades. El compliment no és només una qüestió de legalitat, sinó un factor clau per a la confiança del client i la reputació empresarial. En abraçar aquests desafiaments i preparar-se per als canvis legislatius, les PIMES poden no només protegir la seva informació i la dels seus clients, sinó també posicionar-se com a empreses responsables i a l'avantguarda en l'era digital.

Instem els directius de PIMES a prendre aquest dia com un moment de reflexió i acció. La inversió en protecció de dades és una inversió en el futur de la seva empresa i en el de tots.

I, sobretot, Cuideu-vos!

La Liga (LFP) bajo Vigilancia

por

En una era donde la tecnología se entrelaza cada vez más con la vida cotidiana, la privacidad de los datos se ha convertido en un tema de discusión fundamental. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha puesto el foco en La Liga de Fútbol Profesional (LFP) por el uso de sistemas de reconocimiento facial en los estadios. Este aviso no solo resalta los desafíos que enfrentan las grandes organizaciones, sino que también envía un mensaje crucial a las empresas en general sobre la importancia de navegar con cuidado en el complejo mundo de la biometría y la protección de datos.

De hecho, ya nos referimos al tema semanas atrás cuando la AEDP publicó la  Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La publicación supuso un importante cambio de postura de la Agencia respecto al uso de la biometría en el acceso y el control laboral.

 

Reconocimiento Facial y Privacidad

El reconocimiento facial, una forma de biometría, se ha utilizado cada vez más para mejorar la seguridad en lugares públicos, incluyendo estadios deportivos. Aunque estas tecnologías ofrecen beneficios significativos en términos de seguridad, también generan preocupaciones considerables sobre la privacidad y los derechos individuales. La AEPD ha llamado la atención sobre este equilibrio delicado, enfatizando la necesidad de cumplir con regulaciones estrictas, como el RGPD.

 

La Respuesta de La Liga (LFP)

Frente a las advertencias de la AEPD, La Liga ha defendido su uso de sistemas de reconocimiento facial, argumentando que su principal objetivo es garantizar la seguridad en los estadios.

La Liga sostiene que esta tecnología ayuda a identificar a individuos que puedan representar una amenaza, como aquellos con prohibiciones de acceso o implicados en actos violentos previos. Esta justificación se basa en la premisa de que la seguridad colectiva puede requerir medidas más robustas, aunque intrusivas.

Sin embargo, esta posición plantea un importante debate: ¿hasta dónde puede llegar una organización en la implementación de tecnologías de vigilancia bajo la premisa de la seguridad, sin vulnerar los derechos individuales de privacidad?

Y este debate afecta también a todas las empresas y organizaciones.

 

Implicaciones para las empresas

A falta de ver como se resuelve el contencioso entre La Liga y la AEPD, y a la espera de ver si La Liga es capaz de encontrar soporte jurídico para sus pretensiones, las empresas deben ser conscientes de que cualquier tecnología intrusiva, especialmente aquellas que procesan datos biométricos, requiere un análisis exhaustivo en términos de cumplimiento normativo, previo a su aplicación.

Es fundamental que las empresas evalúen no solo los beneficios de seguridad y eficiencia que estas tecnologías pueden ofrecer, sino también el impacto en la confianza y la privacidad de los individuos. Adoptar un enfoque transparente y responsable, alineado con las directrices de la AEPD y el RGPD, es esencial para evitar sanciones y preservar la reputación de la empresa.

 

Conclusión

La advertencia de la AEPD a La Liga por el uso de reconocimiento facial en estadios es un recordatorio oportuno para las empresas sobre la importancia de equilibrar la innovación tecnológica con el respeto a la privacidad y la normativa de protección de datos. Este caso subraya la necesidad de un manejo cuidadoso y ético de tecnologías potencialmente intrusivas, instando a las empresas a considerar no solo las ventajas operativas, sino también las implicaciones legales y sociales de su implementación.

Estamos a las puertas de una nueva edición del Mobile World Congress (MWC) a celebrar en Barcelona. El año pasado hicieron un uso intensivo del reconocimiento facial para la gestión del acceso de los visitantes. Veremos qué solución aplican este año.

Mientras tanto, ¡cuidaos mucho!

¿Fin del uso de la huella dactilar para el acceso al centro de trabajo?

por

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La Guía representa todo un reto para la adopción de sistemas de identificación biométrica, ya que la AEPD ha revisado sus criterios y aclarado los requisitos esenciales para el tratamiento de datos. Y no pone nada fácil.

Según el Reglamento General de Protección de Datos (RGPD), los datos biométricos se consideran una categoría especial de datos cuando se utilizan para identificar de manera única a una persona. La AEPD ha aclarado que estos datos solo se pueden procesar en circunstancias excepcionales, como con el consentimiento explícito de la persona o si es necesario para el cumplimiento de las leyes laborales o los derechos de protección social y hay una base legal para hacerlo.

La Guía indica que las disposiciones legales anteriores que se pensaba que legitimaban estos sistemas biométricos son insuficientes, ya que no mencionan expresamente el procesamiento de datos biométricos ni proporcionan las protecciones de privacidad necesarias para los empleados. Además, el consentimiento de los empleados tampoco se considera una base válida para la legitimación debido al desequilibrio de poder inherente entre empresarios y empleados.

La conclusión es que se convierte en extremadamente difícil, si no imposible, utilizar sistemas de identificación biométrica para estos propósitos en las empresas, sin una regulación específica europea o española o un acuerdo de negociación colectiva que proporcione normas claras y garantías.

Como alternativas a los controles biométricos, las soluciones podrían incluir métodos tradicionales como hojas de firma manuales, tarjetas clave electrónicas, códigos PIN o aplicaciones móviles que permiten registros basados en la ubicación. Estas alternativas se prevén menos invasivas para la privacidad, se alinean con el principio de minimización de datos del RGPD y aún cumplir con los requisitos operacionales del puesto de trabajo.

El impacto para las empresas de los nuevos criterios de la AEPD al reconocer la biometría como falta de legitimación para el tratamiento de datos es significativo. Las empresas deberán reconsiderar el uso de sistemas de control biométrico, ya que la Guía limita fuertemente estas prácticas. Sin una base legal específica, consentimiento explícito (muy complicado de utilizar en la práctica para el desequilibrio entre empresa y trabajador y tener que superar el juicio de idoneidad) o acuerdos colectivos con garantías adecuadas, las empresas no podrán utilizar datos biométricos para controles de presencia o acceso.

Todo ello puede requerir cambios operativos significativos y, como decíamos, la implementación de métodos alternativos de control de presencia que respeten la privacidad y la protección de datos de los empleados.  La Agencia, incluso, recomienda explorar opciones que ni sean tecnológicas como, por ejemplo, la utilización de recursos humanos. Vaya, poner un vigilante en la puerta, como se ha hecho toda la vida. En fin ...

De ahora en adelante, no pongáis el dedo en ningún sitio y ¡cuidaos!

Pasos en la buena dirección

por

La protección de datos es un tema de creciente importancia en la sociedad digital de hoy. Recientemente se han dado varios desarrollos significativos en este campo, al margen de la omnipresente Inteligencia Artificial de la que cada día se generan noticias cada vez más preocupantes. Es decir, pasas en la buena dirección.

Por ejemplo, La Agencia Española de Protección de Datos (AEPD) acaba de publicar una Guía sobre el uso de sistemas biométricos para el control de acceso, estableciendo criterios claros para uso tanto en entornos laborales como no laborales. Este avance destaca la necesidad de equilibrar la seguridad y la privacidad en el uso de tecnologías avanzadas. Recordemos, además, que los datos biométricos son, a criterio del RGPD, de categoría especial de alto riesgo, por lo que debemos tener un cuidado especial en su tratamiento.

Por otro lado, TikTok se ha unido al Canal Prioritario de la AEPD, una medida que subraya el compromiso de la plataforma con la protección de datos de los usuarios. Esta colaboración surge tras la orden de la AEPD de retirar unos 30 contenidos con material sexual y violento en 2023, lo que pone de manifiesto la responsabilidad de las plataformas digitales en el manejo y la moderación del contenido. La empresa ha establecido, incluso, una vía de comunicación para atender con urgencia los requerimientos que le traslade la AEPD en caso de contenidos que pongan en riesgo los derechos y libertades o la salud física o mental de las personas afectadas.

Además, la Unión Europea ha prohibido a Meta (Facebook) mostrar anuncios basados en el comportamiento de los usuarios en plataformas como Instagram y Facebook. Esta decisión es un claro ejemplo de cómo las regulaciones están evolucionando para proteger mejor la privacidad y los datos personales de los usuarios en un entorno digital cada vez más intrusivo. La Comisión de Protección de Datos (DPA) ha señalado que se debe imponer una prohibición del tratamiento de datos personales según el comportamiento de los usuarios, una decisión que tendrá efecto en todo el Espacio Económico Europeo (EEE).

Estos casos reflejan una tendencia global hacia una mayor supervisión y regulación en el ámbito de la protección de datos. Las empresas y las organizaciones son llamadas a adoptar prácticas más transparentes y responsables en el manejo de información personal. Este enfoque no sólo es crucial para salvaguardar la privacidad de los individuos, sino también para mantener la confianza en el ecosistema digital.

En resumen, la protección de datos personales se ha convertido en una prioridad en el mundo digital. Las regulaciones y guías recientes, como las emitidas por la AEPD y la UE, son pasos importantes para garantizar que los avances tecnológicos no comprometan la privacidad y seguridad de los usuarios. Las empresas y plataformas deben adaptarse a estos cambios, priorizando la protección de datos personales en las operaciones y estrategias de negocio. Estas medidas son fundamentales para construir un entorno digital más seguro y fiable para todos.

Así que ya lo sabéis, cuidad vuestra privacidad y ¡cuidaos!

¿Una idea muy tonta? No, directamente estúpida y poco ejemplar

por

Pues sí, tal y como ha reconocido en la revista Rolling Stone, el CEO de HBO confesó haber troleado a los críticos con tuits falsos tras publicarse un informe de la revista. Casey Bloys explicó que durante la pandemia pasó una "cantidad de tiempo poco saludable" en Twitter cuando habló de utilizar un "ejército secreto" para responder a los críticos. Y ya dijo que se le había ocurrido "una idea muy tonta para aplacar su frustración".

En resumen, una conducta, como mínimo, poco ejemplar, justificada con excusas inaceptables. Los hechos ocurrieron entre 2020 y 2021 cuando era presidente de programación y responsable de contenidos de la compañía. Ahora es el máximo responsable.

Hechos como estos ponen de manifiesto la importancia de la formación y de la comunicación para fomentar la cultura de cumplimiento en las organizaciones. Formación y Comunicación son piedras angulares para hacerlo.

Y sí, hablamos de protección de datos, pero también de más cosas. Esta cultura debe llegar a todos los rincones de las empresas, y de la Administración, y a todas las personas que están involucradas en ella. Y debe llevar a todas partes la ética y el cumplimiento en general.

Hacemos un repaso breve a los principales aspectos claves a tener en cuenta.

  1. Conciencia sobre la importancia de la protección de datos.
    La formación continua asegura que todos los empleados, desde la alta dirección hasta el personal operativo, entiendan la importancia crítica de proteger los datos personales y la información confidencial. Al estar informados sobre los riesgos y las consecuencias de una brecha de datos, los empleados pueden reconocer la relevancia de su comportamiento diario en la salvaguarda de la información.

  2. Comprensión de la legislación y normativas.
    Las leyes de protección de datos, como el RGPD en Europa, la CCPA en California y otras legislaciones similares en todo el mundo, son complejas y sujetas a cambios. La formación ayuda a mantener al personal actualizado sobre sus responsabilidades legales y sobre cómo la legislación afecta a sus roles específicos.

  3. Implementación de mejores prácticas.
    La capacitación proporciona a los empleados el conocimiento de las mejores prácticas en el manejo de datos, incluyendo la identificación de información sensible, el uso correcto de sistemas de TI y la aplicación de protocolos de seguridad. Esto reduce la posibilidad de errores humanos, que son una de las causas más comunes de las brechas de datos.

  4. Gestión de riesgos.
    La formación puede ayudar a los empleados a identificar y evaluar los riesgos relacionados con la protección de datos en las actividades cotidianas, así como a aplicar las medidas de mitigación adecuadas.

  5. Respuesta a incidentes.
    La comunicación efectiva asegura que, en caso de una violación de datos, todos los miembros de la organización sepan exactamente cómo se puede reaccionar, quién debe ser notificado y qué pasos deben seguir para contener y resolver la situación.

  6. Refuerzo del compromiso ético.
    Una cultura de cumplimiento también es una cuestión de ética empresarial. La formación ayuda a internalizar el valor de la privacidad y el respeto por la información personal, más allá del mero cumplimiento legal.

  7. Transparencia con las partes interesadas.
    La comunicación eficaz no solo es importante internamente sino también hacia fuera. Es vital que los clientes, socios y reguladores perciban la seriedad con la que una organización trata la protección de datos, lo que puede mejorar la reputación y la confianza en la marca.

  8. Adaptación a la evolución tecnológica.
    La tecnología y las amenazas de seguridad evolucionan rápidamente. La formación continua asegura que los empleados estén al día con los desarrollos tecnológicos y las amenazas emergentes.

  9. Fomento de una cultura de informes.
    Los empleados deben sentirse cómodos informando posibles problemas o brechas sin miedo a represalias. Una comunicación abierta y transparente fomenta una atmósfera donde los empleados se sienten seguros al reportar incidentes o conductas sospechosas (más allá del Canal de Denuncias).

  10. Mejora continua.
    La formación y comunicación son procesos continuos que ayudan a las organizaciones a adaptarse y mejorar sus prácticas de protección de datos de forma constante y alineada con los cambios en el entorno regulatorio y tecnológico.

Para que una cultura de cumplimiento sea efectiva y sostenible, es esencial que la formación y la comunicación sean vistas como inversiones continuas y no como requisito de una sola vez. Esto demuestra el compromiso de la organización con la protección de datos y refuerza la importancia de cada individuo en el proceso de proteger la información confidencial y de su compromiso con una conducta ética.

Como siempre, hagamos las cosas bien y ¡cuidaos!

EL DNI «y dos huevos duros»

por

Recordamos la célebre frase de Groucho Marx en la película “Una noche en la ópera”.  En un camarote abarrotado, Groucho hace el pedido de comida al camarero y cada vez añade un plato a la lista. Chico, otro hermano, dice: “Y también dos huevos duros”, y Harpo, el tercer hermano mudo, hace sonar la bocina para indicar que, en vez de dos, ponga tres huevos. Y así varias veces.

Me he acordado de esta frase en relación al Informe 48/2023 de la Agencia de Protección de Datos del pasado septiembre, en el que pone de manifiesto la decisión de poner freno a la práctica de que las empresas pidan copias del DNI para identificar a los ciudadanos por cualquier cuestión. Es una costumbre arraigada que empresas y Administración pidan toda suerte de documentación al ciudadano y además “también copia del DNI” (a ser posible por las dos caras).

Existe una tradición heredada de la derogada Ley Orgánica de 1999, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una copia del DNI (o NIE o documento equivalente). Esta práctica sigue llevándose a cabo sin que nadie se la cuestione porque “siempre se ha hecho así” y porqué parece que ofrece más seguridad al tráfico jurídico.

En su Informe, la AEPD considera que el uso de DNI puede resultar excesivo o directamente innecesario para cumplir con la finalidad de identificación.

¿Qué problemas plantea?

El número del DNI no es un dato de categoría especial pero sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular.

La suplantación de identidad es un perjuicio muy habitual puesto que pueden realizarse muchas gestiones como dar de alta contratos o cuentas corrientes, registrarse en sitios web de pornografía o juego online, incluso, pedir un duplicado de la tarjeta SIM.

Y también supone un reto de seguridad de la información para las empresas que realizan los tratamientos porque tienen que almacenar los DNIs, en formato analógico o digital, y asegurar su transmisión a terceros. Para compañías que manejan cientos de miles de documentos, incluso de millones, al año, no es un problema menor. Una brecha de seguridad en estos casos puede ser devastadora para su reputación, sanciones al margen.

¿Qué es el principio de minimización?

Está consagrado en el artículo 5.1.c) “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Es decir, solo podemos tratar como responsable únicamente aquellos datos que son estrictamente necesarios para la finalidad perseguida.

¿Qué dice la Agencia?

La Agencia parte de recordar el principio de responsabilidad proactiva, que recoge el RGPD, de forma que cada responsable tendrá que valorar los casos de uso concretos que se le presenten, y hacer juicios de ponderación si fuera necesario, y ver si es procedente o no pedir el DNI o tratar el número o guardar una copia para sus registros. Y, si hay que pedirlo, qué medidas de protección especial se deben aplicar.

Y en el Informe, la Agencia expone unos criterios generales como que la solicitud del número o copia del DNI no puede instaurarse por defecto y que hay que analizar cada supuesto concreto.

Y tampoco puede solicitarse una copia del DNI para el ejercicio de derechos por parte del interesado.

Como en todo, existen excepciones. Por ejemplo, se puede pedir el DNI para cumplir con la normativa en las actividades de prevención del blanqueo de capitales y la financiación del terrorismo porque la ley lo ampara.

Sanciones

Las sanciones son cada vez más frecuentes y de importe más elevado. Mensajería (por fotografiar el DNI), hoteles y plataformas como AirBnb (por pedir copia para hacer la reserva), entidades bancarias por pedir el DNI para hacer un trámite e, incluso, una sanción de 300.000€ a una empresa de selección de personal por vulnerar el art. 5.1.c) del RGPD (minimización de datos) y una infracción del artículo 12 RGPD en el ámbito del ejercicio de los derechos del interesado.

Soluciones

No hay una solución única. Cada responsable tendrá que revisar sus casos de uso y ver qué datos necesita y recoger solo esos. O, si necesita la copia del DNI, justificarlo.

Y ver si hay alternativas menos gravosas para el usuario.

Hay en el mercado soluciones técnicas que permiten, por ejemplo, escanear un documento apantallando (ofuscando, excluyendo, pixelando la imagen, etc.) determinados campos lo que permite guardar solo aquellos estrictamente necesarios.

O enviar códigos alfanuméricos al teléfono móvil que permitirá la identificación del usuario.

Conclusiones

La práctica de pedir el DNI para todo tiene que decaer. Y debe hacerse un esfuerzo por parte de todos para que se acometa la reforma de los sistemas de las empresas lo antes posible. Y tomar medidas también para con los documentos guardados, de los que hablaremos otro día.

Como siempre, ¡cuidaos!  

Revisión Textos Legales Web