Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Tiempos revueltos para Google y para todos

por

Semana intensa para Google y Microsoft, lo que quiere decir semana intensa para casi todo el mundo.  Por un lado, Micrososoft presentaba la nueva versión de Bing (su buscador) con ChatGPT que promete ser una revolución importante. Por otro, Google, en una reunión apresurada, intentaba contraprogramar el anuncio de Microsoft con tan poco éxito de que sus acciones cayeron hasta un 10%.

Pero ¿qué pasa exactamente?

Ocurre que la integración de ChapGPT con Bing supone una grave amenaza para Google por que ataca directamente a su funcionalidad core: las búsquedas.

¿Y qué es ChatGPT?

La tecnología avanza cada día de forma exagerada pero, ahora mismo, hay dos herramientas que serán absolutamente disruptivas: la Inteligencia Artificial (AI, por sus siglas en inglés) y el Metaverso (del que hablaremos otro día).

En el campo de la AI, el producto del momento es ChatGPT. Se trata de una inteligencia artificial entrenada para mantener conversaciones. De forma que solo hay que hacerle preguntas en lenguaje natural y te proporciona las respuestas. Y las respuestas son acertadas y completas. Además, las expresiones son muy naturales y la información cada día más precisa.

Incluso, esta AI tiene sentido del contexto y recuerda toda la conversación mantenida, de manera que, si le haces una pregunta relacionada con la explicación dada, lo entenderá sin tener que volver a empezar.

Algunos ejemplos de las posibilidades de ChatGPT

Servicio al cliente automatizado, generación de informes, análisis de sentimiento, gestión del conocimiento, traducción automática, generar canciones o poemas, imitar la forma de escribir de otra persona, chistes, listas de páginas web, trivials, crear plantillas, crear exámenes, análisis de productos, comparador, fórmulas de Excel, consejos de salud, sugerencia de juegos, libros, películas o series, … Ahora mismo y de verdad, el límite es la imaginación.

¿Y por qué tanto lío con Google?

Porque Microsoft lo ha incorporado en su buscador Bing. Y eso pone en una disyuntiva muy complicada a Google. Si no lo incorpora en su buscador, puede ser que millones de usuarios se pasen a Bing (que hasta ahora tenía una cuota ridícula) porque prefieran las respuestas acabadas de ChatGPT (por ejemplo, para entregar un trabajo en la escuela hecho en unos minutos) que no buscar en Google y recibir una respuesta de millones de páginas encontradas que supone tener que averiguar cuáles son las interesantes para,  después, extraer la información y resumirla.

Y si Google incorpora Bard, su chat de AI, también supone un problema. Si sus usuarios lo usan en lugar de hacer la búsqueda, ¿qué pasará con los anunciantes y el SEO? Se pone en peligro toda una industria que representa una fabulosa facturación anual.

Conclusión

ChatGPT puede haber empezado a cavar la tumba de Google. Y, detrás de Google, iremos todos (no a la tumba, claro, pero vienen tiempos interesantes). Da igual que seas abogado, escritor, diseñador, profesores, vendedores, estudiantes, cantante, compositor y una larga lista de profesiones y actividades humanas que tendremos que reinterpretar.

Y, ahora, añadámosle el Metaverso a la ecuación y tendremos un panorama absolutamente disruptivo con consecuencias difíciles de prever.

¡Como siempre, cuidaos (también en el Metaverso, del que hablaremos otro día)!

Además del affaire Shakira-Piqué, en el mundo pasan más cosas

por

Por ejemplo, mañana celebramos el Día Europeo de la Protección de Datos. El 2022 ha sido de gran actividad legislativa que afectará a las empresas en esta materia ya en este 2023. Recordaremos las principales y apuntaremos algunos detalles.

En pleno tsunami de la inteligencia artificial –con ChaptGPT como máximo exponente– he tenido la tentación de escribir este post usando esta herramienta que ahora está de moda. No lo he hecho, naturalmente, por muchas razones. Digamos ética, dignidad o vergüenza profesional. Pero lo importante es entender que esta tecnología, como otras, tendrá un impacto enorme en nuestra sociedad. Y que la Protección de Datos toma un papel muy destacado en defensa de nuestra privacidad. Y, como se dice habitualmente, es cosa de todos.

Podemos poner algunos ejemplos. Microsoft saca al mercado VALL-E, una IA como ChatGPT que imita tu voz escuchándote tan solo durante 3 segundos. Imita la voz, la cadencia, incluso, el ambiente. Y para hacerlo fácil (y para intentar aumentar cuota), Microsoft quiere integrar estas herramientas en su buscador Bing. Y, claro, eso ha puesto de los nervios a Google.

Sea como fuere, está claro que las tecnologías avanzan de forma exponencial y, cada día más, tienen un fuerte impacto en nuestra privacidad. Por eso todos, –administraciones, legisladores, operadores jurídicos, empresas y, por supuesto, los usuarios– tenemos que hacer un esfuerzo permanente para que este nivel de protección conseguido con el RGPD no sólo se mantenga, si no que vaya a más.

Avances normativos

Este 2022, el legislador nos ha ayudado aprobando una serie de medidas, todas encaminadas a conseguir, al menos intentarlo, ir a la par con las tecnologías. Recordemos las siguientes:

  1. Ley Europea de Inteligencia Artificial (aplicable a todos los usos que afecten a ciudadanos de la UE).
  2. Ley de Mercados Digitales y la Ley de Servicios Digitales (la primera, para vigilar a las grandes plataformas digitales («gatekeepers«) y la segunda, para crear un entorno online más seguro y responsable).
  3. Nuevo acuerdo de protección de datos entre Europa y EEUU (para sustituir al Privacy Shield).
  4. Directiva NIS 2 (medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la UE).
  5. Propuesta de Reglamento de Ciberseguridad en productos con elementos digitales (para establecer requisitos de ciberseguridad en toda la UE por una amplia gama de productos de software, hardware, navegadores, sistemas operativos y una larga lista de soluciones de procesamiento de datos en remoto).

Todas las iniciativas son muy interesantes y van encaminadas a la protección de los usuarios online. En próximos posts entraremos en más detalle en cada una de las normativas.

Recomendaciones

Como decíamos al principio, la protección de datos es cosa de todos. Nuestra, también. Por lo tanto, mañana 28 de enero, es un buen momento para revisar todas nuestras rutinas de protección y seguridad. Y, si necesitamos ayuda, INCIBE.

Como siempre, cuidámonos y cuidemos nuestros datos!

Protección de datos: ¡hay que hilar fino siempre!

por

En todas las áreas del derecho debemos ser extremadamente rigurosos como corresponde pero parece que la protección de datos sea la solterona (o solterón) del ordenamiento jurídico. Así, es una rama del derecho, en el marco de la privacidad, a la que se le invita con desgana, se tolera porque no hay más remedio y se obedece cada día más, sobre todo, por las sanciones.

¿Qué ha pasado esta vez?

Pues que la Agencia Española de Protección de Datos ha impuesto una multa a una empresa de mensajería por entregar un pedido a un vecino del destinatario, sin la preceptiva autorización. Tanto simple como eso con un resultado doloroso.

Los hechos

Desde siempre se han entregado paquetes a domicilio. La empresa estatal de Correos, sin ir más lejos, lo viene haciendo desde el mismo día que se creó. Pero, claro, con el comienzo de la pandemia la actividad se disparó de manjar exponencial.

Una persona compra por internet un producto en Media Markt que es entregado por la empresa de mensajería UPS. El repartidor, al no encontrar al destinatario en su domicilio, decide entregarlo a un vecino, sin tener autorización.

El afectado reclama primeramente a Media Markt pero la AEPD considera que es UPS el responsable de garantizar los datos del cliente.

¿Qué dice la Agencia?

La Agencia considera en su resolución que la conducta del repartidor ha vulnerado el artículo 5.1.f) y el artículo 32 del Reglamento General de Protección de Datos (RGPD) «al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes».

El resultado

Pues la Agencia ha impuesto a UPS una multa de 50.000€ por la primera infracción y de 20.000€, por la segunda. Es decir, considera la AEPD que la empresa denunciada ha cedido los datos del reclamante a un tercero, sin su consentimiento.

Ahora viene Navidad …

Pues sí, ahora vienen las fiestas de Navidad, periodo en el que el reparto de paquetería llega a sus máximos del año. Y a esto hay que añadir las prisas, los pedidos de última hora y el festival de las devoluciones. Y tener en cuenta que, muchas veces por buena fe o con ganas de ayudar, podemos estar comprometiendo datos personales. Y si lo que dejan en casa del vecino es un jamón, pues todavía. Pero si lo que dejan es el último modelo de «satisfyer» en un envoltorio poco discreto, quizás, además, nos enfadaremos.

Como siempre, ¡cuidado con los paquetes y cuidaos!

¡Y ahora llega el (maldito) currículum!

por

Una vez más, una empresa, concretamente un despacho de abogados, ha sido sancionada por incumplir al RGPD en el tratamiento del currículum de un candidato. ¿El resultado? una sanción de 10.000€. No es la primera, no será la última.

Ya hemos hablado en otras ocasiones del tema currículum. Tanto empresas como candidatos parten de premisas equivocadas, obsoletas o directamente falsas. Los candidatos, enviando currículos a diestro y siniestro, sin reparar que están exponiendo sus datos sin control; las empresas, en más casos de los deseables, tratando los currículos sin el cuidado necesario por falta de conocimientos, protocolos y, a menudo, de empatía hacia el candidato.

Si hay un momento en la vida en el que exponemos numerosos datos personales, éste es cuando entregamos el currículum a una empresa con el fin de que nos contraten. Como candidatos debemos exigir que nuestros datos se traten debidamente (por lo que ayudaría conocer mínimamente la normativa). Y como empresa, faltaría más, debemos cumplir escrupulosamente con el RGPD porque es ley y porque es el trato correcto con las personas.

Dos partes que deberían estar en equilibrio. El candidato quiere, obviamente, que lo contraten y conseguir un puesto de trabajo acorde a sus méritos y la empresa quiere contratar talento que le aporte valor.
Hagamos, por tanto, que, independientemente del resultado, la experiencia resulte satisfactoria para todos.

Los hechos

El reclamante envió el currículum en respuesta a una oferta de trabajo y fue convocada a una entrevista, sin informarla en ningún momento del nombre de la empresa ni ningún dato identificativo.

Al llegar a la sala de la entrevista, el entrevistador entró con el currículum de la candidata impreso. No se le advirtió del tratamiento se pensaba dar a los datos personales, ni del tratamiento que ya se había hecho. No se ofreció ningún tipo de información en cumplimiento de RGPD.

La única manera de saber quién la entrevistó fue gracias a unas pegatinas que había en la oficina. Además, en la web corporativa tampoco consta ninguna información relativa al RGPD.

Las consideraciones de la AEPD

Pues según la AEPD, el despacho obtuvo datos personales de los usuarios de la página web sin previo consentimiento, en un formulario donde introducir nombre, correo y asunto y pulsando la opción “Enviar” para enviarlo, sin más requisitos.

En cuanto a la Política de Privacidad, nos encontramos con que se proporciona una información totalmente insuficiente, faltando, por ejemplo, la identidad y datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercer los derechos que asisten a los usuarios y cómo y dónde ejercerlos.

¿Qué debemos hacer?

La lista de incumplimientos del despacho da para escribir un libro, sin contar con que la conducta es la de un despacho de abogados que, por su naturaleza, debería poner más cuidado en el tratamiento de los datos personales.

Nuestra recomendación es que la empresa disponga, al menos, de un Protocolo de tratamiento del CV (desde la publicación de la oferta hasta la desestimación del candidato) y un conjunto de documentos básicos que permitan recoger el consentimiento para el tratamiento y para la entrevista de trabajo y circulares informativas del tratamiento (y del no tratamiento). Y recordar que si la selección se realiza a través de un portal de empleo o una agencia de colocación será necesario tener firmado el preceptivo contrato de encargado de tratamiento.

Todo ello, entendiendo que la empresa está debidamente adecuada a la normativa de Protección de Datos. Si no, estaremos incumpliendo y no servirá de nada nuestro esfuerzo.

Como siempre, ¡cuidad los currículos y cuídaos!

¡Ay!, la (maldita) copia oculta

por

Debemos reconocerlo. A todos nos ha pasado, por ir con prisas y no fijarnos o simplemente porque en el momento supremo de enviar el correo una distracción –llaman al móvil o alguien nos interrumpe – hace que enviemos los correos a un conjunto de destinatarios sin poner en copia oculta (CCO). Y una vez pulsada la tecla de Enviar, sale, inevitablemente de lo más profundo de nuestra garganta, un “Ay!” que se hace sentir por toda la estancia. Sin embargo, ya es tarde. Irremediablemente tarde.

Pues eso le ocurrió a una inmobiliaria aquí, en Terrassa. Y, como no puede ser de otra forma, con consecuencias no deseadas (ver resolución AEPD). Por la empresa y, lo que es peor, por los destinatarios que vieron expuestos sus datos personales. Vamos a contarlo.

Los hechos

Una empresa inmobiliaria remite un correo electrónico, a una pluralidad de destinatarios, sin utilizar la modalidad de copia oculta, lo que permite que terceros tengan conocimiento de la dirección de correo electrónico del reclamante. ¿Fácil de entender? Pues sí. No se pueden desvelar datos personales, ni siquiera el correo, porque vulnera el artículo 5.1.f) del RGPD. Y el 32 también, como veremos.

Las consideraciones de la AEPD

La Agencia considera que la entidad reclamada, con su actuación, ha cedido los datos a terceros sin causa que lo legitime y, por tanto, ha realizado un tratamiento de los datos personales, cuya custodia tiene encomendada, contrario a derecho . La empresa ha violado el principio de integridad y confidencialidad (artículo 5.1.f) RGPD), así como no haber adoptado las medidas de seguridad necesarias para garantizar la protección de datos de carácter personal de sus clientes (artículo 32 RGPD), al no utilizar la modalidad de copia oculta del correo electrónico.

Multa por dos conceptos

La primera multa, por la infracción del artículo 5.1.f) RGPD, se cuantifica (tras la graduación de la sanción) en 6.000€.
La segunda, por infracción del artículo 32 RGPD, es de 3.000 €.
Hacen un total de 9.000 €.

No está mal una multa de 9.000€ por una acción que se podría haber evitado sólo pegando el listado en el campo CCO del editor de correo. Además, la empresa, de forma inusitada, no contestó al requerimiento de la AEPD ni presentó ninguna alegación (de las comunicaciones con la AEPD hablaremos otro día).

Apuntes

Pero más allá del hecho puntual, doloroso pero asumible, está el bien jurídico que quiere protegerse que no es otro que la privacidad de los datos personales. Y aquí sí debemos prestar atención. Se trata de realizar un tratamiento escrupuloso de los datos personales que nos encomiendan. Aplicar los principios del RGPD como la transparencia, minimización, integridad, confidencialidad y demás, y, sobre todo, el de la lealtad con el interesado.

Como siempre, ¡cuidados!

Google Chrome? No tan incógnito …

por

Google Chrome es, con diferencia, el buscador más utilizado por los usuarios que navegan por Internet. Muy por delante de Edge, Safari y los demás. Además, el servicio lo proporciona una gran compañía -grande en todos los sentidos- que hace que tengamos la percepción de que es un buen producto, merecedor de toda nuestra confianza. Pues bien, esto no debería ser exactamente así, por nuestra seguridad y privacidad.

Chrome, como otros navegadores, dispone de un método de navegación que denomina “incógnito”. La RAE, en la segunda acepción, define incógnito como «situación de un personaje público que actúa como persona privada«. Es decir, persona que desea pasar por desconocida en su viaje virtual, en este caso, a la red. Y, sobre todo, sentirse seguro y protegido.

¿Qué es el modo incógnito?
En este modo, el navegador elimina los datos locales de la sesión de navegación en Internet. Quiere decir que se bloquean las cookies, no se registra el historial de navegación y cualquier otro rastreador, archivo temporal o barra de herramientas de tercero se desactivará. Y esto deja muchos datos a los que el modo incógnito no afecta para nada.

¿Es tan “incógnito”?
Pues no o al menos no es suficiente. Si inicias sesión en un sitio web, éste te identificará y podrá seguir tus actividades. No evitará que los sitios que visitas, tu centro educativo, tu empresa o proveedor de servicio de Internet puedan ver tu actividad y ubicación. Y tampoco evitará que los sitios web que visites publiquen anuncios basados ​​en tu actividad durante una sesión de incógnito.

El mensaje que destapa el asunto
Como siempre, el diablo está en detalles. La jefa de marketing de Goggle, Lorraine Twohill, envió un correo a Sundar Pichai (CEO) advirtiéndole de que los clientes estaban confundidos respecto al funcionamiento del modo incógnito y. «Haz que el modo incógnito sea realmente privado» escribió. Twohill lo envió después de que varios usuarios presentaran una demanda colectiva multimillonaria por supone seguimiento de los usuarios mientras utilizaban este modo.

Incluso los empleados avisaron
La cosa viene de lejos. Ya en 2018, un empleado compartió un informe que demostraba que los usuarios no entienden realmente cómo funciona y no saben que no protege su privacidad como ellos piensas. Para este empleado, «hay que dejar de llamarlo incógnito y de utilizar un icono con un espía» porque lleva a equivoco sobre sus características.

Recopila nuestros datos para mostrar publicidad
Google no se esconde y lo explica en un enlace pero nadie lo lee. ¿Le resulta familiar no leer las informaciones adicionales o los términos y condiciones de uso de las apps? Pues eso. Este enlace de “Más información” está bien visible en la página inicial y explica qué no hace el modo de incógnito.

En resumen
Al final, “business is business” y si fuera realmente incógnito, Google no haría negocio con nuestros datos que vende a los anunciantes. Por nuestra parte, podemos utilizarlo, como dice Google, por cuestiones inocentes como comprar un regalo por un familiar que comparte ordenador o por si salta el banner de cookies, como hacemos los profesionales de la privacidad. Por lo demás, es mejor utilizar DuckDuckGo para tener algo más de privacidad. Y queda pendiente por otro día hablar de Tor.

Como siempre, ¡cuidados!

¿Quieres acosar a alguien con un perfil falso? No es buena idea.

por

La semana pasada hablábamos de la utilización de las redes para cobrar una deuda de forma poco ortodoxa, por decirlo suavemente. Ahora queremos hablar de una práctica más que habitual y muchos más execrable como es la de abrir perfiles falsos en la redes sociales, páginas de contacto o simplemente de anuncios, provocando un acoso o directamente una humillación hacia otra persona.

Vemos algunos avances en la lucha contra la violencia digital en la nueva Ley.

La novedad

Esta conducta tendrá, a partir del próximo 7 de octubre, respuesta penal. En efecto, el día 7 entrará en vigor la nueva Ley Orgánica 10/2022, de 6 de septiembre, de Garantía Integral de la Libertad Sexual: es la conocida popularmente como «ley del sólo sí es sí«.

En la nueva redacción se ha modificado el artículo 172 del Código Penal vigente para, como dice el preámbulo de la Ley,  «dar respuesta especialmente a las violencias sexuales cometidas en el ámbito digital». Y explica que estas violencias comprenden, entre otras, la difusión de actos de violencia sexual a través de medios tecnológicos, la pornografía no consentida y la extorsión sexual.

Por primera vez, los perfiles falsos en redes sociales para acosar entran en el Código Penal español.

La conducta

Ejemplos de esta conducta serían la creación de un perfil falso en una web de citas (o de escorts) con ánimo de humillarla. O subir a una red social, con una cuenta fake, imágenes humillantes retocadas con el ánimo de acosarla.

La conducta que se penaliza no es tanto crear un perfil para obtener un beneficio o perjuicio genérico, sino de la creación de un perfil falso para acosar, hostigar o humillar a otro.

Las penas

La Ley considera como delito de acoso la utilización sin permiso de la imagen de otra persona para «realizar anuncios o abrir perfiles falsos en redes sociales, páginas de contacto o cualquier medio de difusión pública, ocasionándole a la misma situación de acoso, hostigamiento o humillación«. Estos hechos se castigarán también con penas de prisión tres meses a un año o multas de seis a doce meses.

El acoso en la empresa

La Ley ha modificado también otros artículos de interés que hacen referencia a los actos hostiles o humillantes que supongan grave acoso a la víctima en el ámbito de la empresa, la solicitud de favores sexuales en el ámbito de una relación laboral siempre que provoquen una situación gravemente intimidatoria, hostil o humillante o la difusión, revelación o cesión a terceros de imágenes o grabaciones sin autorización de la víctima,  lo que se conoce como sexting.

 

El acoso no ha sido nunca una buena idea, siempre ha sido un delito y, ahora, la Ley ha hecho un esfuerzo para perseguir estas conductas detestables.  Y debemos ser conscientes de que el acoso, como todas las conductas delictivas o simplemente reprobables, es cosa de todos, no sólo de los afectados. Todos podemos ayudar en nuestra medida. No mirar hacia otro lado e implicarnos ya es un paso adelante.

¡Como siempre, cuidaos!

¡No todo vale para perseguir a un moroso!

por

Hoy en día es bastante habitual que las empresas suban fotografías al Insta (como se dice ahora), generalmente para promocionar sus productos y ganar reputación. Pero, a veces, las intenciones son otras y el resultado no puede ser más desastroso. Como dice el título, no todo vale para perseguir a un moroso ni para muchas otras cosas en la vida.

El caso

Una mujer interpone una reclamación ante la AEPD basándose en que la  tienda de vestidos de novia donde había comprado el suyo, ha publicado en Instagram una foto en la que figura vestida con su vestido de novia, con el objetivo de cobrarlo.

Según dice la tienda, en ningún momento se identifica a los reclamantes, ya que las fotografías mostraban las figuras de dos personas, hombre y mujer, con la cara totalmente tapada con un círculo negro que no permitía la identificación y que, por tanto, no había tratamiento de los datos personales de la pareja. La firma señala que se alteró deliberadamente la fotografía para ocultar la identidad, por lo que difícilmente se podría considerar un tratamiento ilícito de datos. Y alega también que la imagen se difundió en Instagram menos de una hora porque la clienta pagó inmediatamente.

Por su parte, la Agencia entiende que la falta de pago no legitima usar imágenes si no se cuenta con el consentimiento expreso de la afectada. Y que poco tiempo que la fotografía estuvo expuesta no es atenuante, antes lo contrario, porque fue consecuencia del pago coaccionado de la clienta. Se ha incurrido, por tanto, en un tratamiento ilícito de datos personales.

La sanción

La Agencia entiende que la conducta supone una infracción del artículo 6 del RGPD (licitud del tratamiento) ya que los datos personales fueron tratados sin contar con ningún tipo de legitimación. De acuerdo con los criterios sancionadores, se estima adecuado imponer a la tienda una sanción de 10.000€ por la infracción referida, por falta de consentimiento de la afectada.

Reflexiones

Como dice el título, todo no vale. Para publicar una imagen en redes sociales, y en cualquier otra situación, es imprescindible contar con el consentimiento expreso si no tenemos otra base legitimadora. En este caso, no se solicitó el consentimiento de la afectada porque se buscaba presionarla para que pagara. Y ya se puede entender que no hubiera dado nunca el consentimiento para que la presionaran.

Con carácter general también podemos decir que nuestro ordenamiento jurídico nos ofrece un amplio abanico de mecanismos para, como en este caso, recuperar una deuda de una manera arreglada. No hay que acudir a atajos ente que llevan a una sanción (o consecuencias peores).

 

¡Como siempre, cuidaos!

¿Qué sabe Internet de ti?

por

El uso que hacemos de Internet, desde nuestras preferencias de navegación hasta los contenidos que compartimos en redes sociales, crean un rastro denominado huella digital.

Tu huella digital también la conforman los contenidos que comparten terceras personas sobre ti, con o sin consentimiento, y que te identifican en internet.

¿Qué es una Huella Digital?

Siempre que usamos Internet, dejamos un rastro de información personal que se conoce como huella digital. La huella se alimenta de casi todas las actividades que realizamos en la red. Por ejemplo, cuando visitamos un sitio web, hacemos una publicación en una red social, nos suscribimos a una newsletter, hacemos una compra o dejamos una opinión en un comercio estamos haciendo crecer nuestra huella digital.

Estas actividades, conocidas por todos, se conocen como huellas digitales activas porque el usuario comparte voluntariamente la información personal de forma consciente. Si completamos un formulario de registro y damos nuestro consentimiento para que traten nuestros datos, estaremos contribuyendo a nuestra huella digital activa.

Pero, ¿qué pasa con nuestra huella digital pasiva? Esta se crea cuando se recoge información del usuario sin que éste se dé cuenta. El primer ejemplo lo encontramos cuando los sitios webs recopilan nuestra IP o nos instalan cookies en nuestro navegador para rastrear nuestra actividad y poder enviarnos, para poner un caso, publicidad segmentada.  O cuando damos un «like» o compartimos un contenido en una red social que les permitirá crear un perfil sobre ti.

La identidad digital

Toda esta huella digital que generamos se convierte en lo que se denomina «identidad digital» en la red. Esto incluye desde huellas deseadas como puede ser un perfil de Linkedin o aparecer en la página web de la empresa hasta aquellas referencias nuestras que pueden afectar a nuestra reputación y que quizás no somos ni conscientes de ello.

Y la identidad digital va ligada a la «reputación digital» (lo que también se conoce como «marca personal«, análoga a la reputación en el mundo analógico que tan bien conocemos y a menudo sufrimos. Si lo que Internet sabe de nosotros es negativo, lo primero que sufrirá será nuestra reputación. Y esto puede ser debido, habitualmente, a nuestra huella digital pasiva de la que siquiera nos somos conscientes. En la red puede haber una reseña negativa o una fotografía que nos coge en un mal paso y que nosotros no sabemos de su existencia.

¿Es importante la huella digital?

El tema reputacional, en sí mismo, ya es bastante importante. Imaginemos que queremos que nos admitan en una escuela, universidad o en determinada empresa. O, simplemente, queremos contraer matrimonio. O somos una persona famosa o queremos hacer carrera, digamos, política o similar. O hemos sido víctima de un acoso y han publicado un vídeo de contenido sexual (caso que se dio a principio de verano con un conocido actor). Los ejemplos son muy numerosos.

Pero la exposición en la red puede suponer otros peligros. Ataques de phishing aprovechando la información nuestra que circula en Internet, que se difunda contenido comprometido destinado a un círculo privado, acosos de todo tipo aprovechando lo que saben de nosotros (tema delicado especialmente por determinados colectivos: menores, víctimas de violencia sexual, etc.), chantajes en el ámbito empresarial son sólo algunos ejemplos.

Tengamos siempre presente que cuando publicas una información en Internet es como si la tatuase: cuesta mucho borrarla. Y una vez publicada perdemos el control sobre el uso que harán los demás de la información.

Proteger tu huella digital

Este tema será objeto de un próximo post pero, en síntesis, se trata de reducir nuestra exposición en la red. Reducir las fuentes de información que te mencionan, limitar la cantidad de información que compartes, ser cuidadoso con las redes sociales, revisar nuestra configuración de privacidad, evitar sitios web inseguros, no usar Wifis públicas, tener una política de contraseñas, revisar los dispositivos móviles o usar una VPN (Red Privada Virtual) pueden ser algunas recomendaciones a seguir.

 

Como siempre, ¡cuidad vuestra reputación digital y cuidaos vosotros mismos!

Revisión Textos Legales Web