Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

ChatGPT: Ángel o Demonio

por

Así se titulaba la sesión de ayer de El Mirador Indiscret, unas sesiones de debate que periódicamente organiza el Col·legi del Màrqueting i la Comunicació de Cataluña sobre temas de actualidad e interés para los colegiados.

Y la de ayer no podía ser más oportuna ni de más interés. Oportuna porque ChatGPT es, sin duda, la tecnología del momento de la que todo el mundo habla. Sólo viendo la velocidad en la tasa de adopción (mes de 100 millones de usuarios en dos meses) nos podemos hacer la idea. Y de interés, más que nunca, por toda la profesión: creativos, copys, directores de arte, … por las implicaciones que tendrá en su trabajo.

Viendo la inversión de Microsoft y la incorporación de ChatGPT en su buscador Bing podemos pensar que esto no ha hecho más que empezar. Y de la importancia que tiene, Gerard Oliveras puso dos ejemplos muy recientes.

El primero, el pánico de Google cuando Microsoft anunció la incorporación que fue épico. De repente, la todopoderosa Google recibía una sacudida de dimensiones difíciles de evaluar aún en su «core business», el buscador. Ahora parece más interesante buscar a Bing con ChatGPT que en Google. Y nadie lo vio venir.

Y la segundo, la intensa aplicación de la inteligencia artificial a sus procesos de negocio por parte de Shein, la distribuidora textil, que le proporciona una ventaja competitiva frente a Inditex, H&M y otros competidores. El time to market resulta ser mucho más competitivo, tanto en tiempo como en diseño. Su app fue la más descargada en compras en Estados Unidos el año pasado. A tener en cuenta.

Y, claro, después de glosa las maravillas de la herramienta, y sin querer desinflar el soufflé, era necesario tocar el tema de la protección de datos. Para ello, Gina Tost (Secretaría de Políticas Digitales de la Generalitat) se encargó, desde el punto de vista de la Administración, de valorar la irrupción de estas tecnologías, las amenazas que se prevén, los derechos y deberes digitales afectados y, naturalmente, de la importancia del marco regulador y cómo se está trabajando en este sentido.

Y en este sentido, debemos señalar que el bien jurñidico a proteger es la Privacidad Digital. Es el derecho que tenemos a los usuarios de proteger nuestros datos en internet y decidir qué información pueden ver los demás, qué información pueden utilizar y con qué finalidad y cómo ejercer nuestros derechos. Es una expectativa legítima que tenemos como individuos de poder administrar nuestra «huella digital«, entendida como la avalancha de datos personales que generamos cada día y que, en definitiva, determinan nuestra reputación digital.

Como decíamos al principio, esto no ha hecho más que empezar. ChatGPT no es, ni mucho menos, la única herramienta de inteligencia artificial a nuestro alcance. Ahora mismo las podemos contar por centenares, con todas las derivaciones imaginables. Incluso, ya aparecen trabajos tan específicos como el de «prompt engineer«, aquel profesional que desarrolla y optimiza la comunicación con los algoritmos para obtener el mejor resultado.

Frente a este tsunami tecnológico que se nos viene encima, la normativa de protección de datos es el instrumento a nuestro alcance para mantener la soberanía de nuestros datos. Tenemos que tener el control porque, de otro modo, habrá que repensar si el viaje vale la pena.

Como siempre, cuidad vuestros datos y cuidaos!

«Sentir el control». Es todo lo que se pide.

por

Según el último Informe que la empresa de investigación de mercados Ipsos ha hecho por Google, «Privacidad desde el diseño: los beneficios de dar el control a la gente«, las empresas que basan sus negocios en la explotación de los datos personales de los usuarios empiezan a valorar la aplicación de políticas de protección de datos que permita a los usuarios tener la percepción de que sus datos personales serán tratados de forma adecuada.

Los usuarios prefieren ver anuncios relevantes y útiles y están abiertos a compartir sus datos con las marcas, pero quieren sentir el control de cuándo lo hacen. Mejorar la sensación de control que la gente tiene sobre sus datos es una manera poderosa para que las marcas generen confianza, aumenten la eficacia del marketing y obtengan mejores resultados.

Principales conclusiones del Informe

  1. Proporcionar una experiencia de privacidad positiva puede aumentar la cuota de preferencias de marca en un 49%.
    Tras una experiencia de privacidad positiva con su marca de segunda elección, el 49% de las personas dijeron que cambiarían de su marca preferida a la segunda marca.
  2. Equivocarse en la experiencia de privacidad tiene un impacto negativo tanto en la confianza como en las preferencias de marca.
    Para muchos de los participantes en el estudio, las experiencias de privacidad que no tenían transparencia o que no proporcionaban conocimiento y/o autonomía al cliente eran muy perjudiciales, tanto para la confianza de la marca como para las preferencias de los participantes.
  3. Hay poderosas prácticas de privacidad que las marcas pueden desplegar para aumentar las sensaciones de control, y las combinaciones más efectivas tienen un impacto positivo notable en algo más que los sentimientos de control.
    Para obtener el mayor impacto positivo en las sensaciones de control, las marcas deberían desplegar una combinación probada de prácticas que creen experiencias de privacidad Significativas, Memorables y Manejables.

El estudio sugiere que las marcas que pueden ofrecer estas experiencias verán, con el paso del tiempo, un efecto bola de nieve positivo: la gente sentirá que tiene el control, lo que aumenta la confianza de la marca y aumenta las preferencias de la marca. Las marcas que descuiden la privacidad corren el riesgo del escenario contrario. El camino hacia el éxito es claro: adoptar prácticas basadas en las tres características mencionadas (Significativas, Memorables y Manejables) para dar a las personas una sensación de control y mejorar la eficacia del marketing.

“Sentir” el control

Para los usuarios, «sentir» el control es algo más que tener el control. Las herramientas de privacidad que permiten a las personas cambiar sus preferencias de cookies y darse de baja del marketing por correo electrónico pueden ayudarles a mantener control de sus datos. Pero estas herramientas no son suficientes para proporcionar a los clientes la sensación más sustancial de control que necesitan para confiar en una marca. Los clientes también quieren saber cuándo y por qué comparten su información y entender las ventajas que recibirán de hacerlo.

Para concluir, diremos que las marcas tienen que hacer un esfuerzo para que el cliente tenga la percepción de que tiene el control sobre su privacidad y que, naturalmente, lo tenga. Si sabemos qué datos compartimos y cómo nos beneficia a nosotros hacerlo, la empresa tiene que ser leal con nosotros. A cambio, tendrá nuestra confianza, lo que se traducirá, a buen seguro, en mejores ventas.

¡Y, como siempre, cuidaos!

No todo serán cookies

por

Además de los cookies o el píxel de Facebook, hay otras técnicas para intentar predecir los intereses de los usuarios y hacer que compren el producto, que es el final el que interesa a las empresas. Entre estas técnicas apuntamos hoy el análisis de comportamiento que tiene, cada día más, un gran predicamento en el área de ciberseguridad, la salud y la seguridad de las personas y, cómo no, en el campo de los servicios y el marketing.

El análisis de comportamiento de usuarios (UEBA, por sus siglas en inglés) que se utiliza en los servicios de Internet recogen grandes cantidades de datos de usuarios o entidades, aplicando, casi siempre, técnicas de machine learning  (aprendizaje automático o de Inteligencia Artificial (IA) para generar modelos de comportamiento.

Y esta técnica también se puede aplicar en el ámbito del marketing para entender mejor el comportamiento de los consumidores y mejorar la experiencia del usuario en el sitio web o la aplicación móvil. No obstante, la implementación de UEBA en el marketing también plantea preocupaciones sobre la privacidad y protección de datos personales de los usuarios.

El análisis de comportamiento de usuarios en el marketing implica el uso de datos de registro de eventos para entender cómo los usuarios interactúan con el sitio web o la aplicación móvil. A través del análisis de estos datos, los especialistas en marketing pueden identificar patrones de comportamiento de los usuarios, incluyendo cómo interactúan con la página, qué productos o servicios buscan, qué contenidos les interesan, entre otros.

Estos datos pueden ser extremadamente valiosos para las empresas, ya que les permiten personalizar la experiencia del usuario y ofrecer contenido y ofertas que sean más relevantes para ellos. Por ejemplo, un sitio web de comercio electrónico puede utilizar el análisis de comportamiento de los usuarios para identificar los productos que los usuarios están buscando con más frecuencia y ofrecer ofertas especiales en estos productos.

No obstante, el uso de UEBA en el marketing también plantea desafíos significativos en términos de privacidad y protección de datos personales. Los datos de registro de eventos utilizados en el análisis de comportamiento de usuarios pueden incluir información personal y confidencial, como direcciones IP, información de navegación, información de compras y otra información relacionada con la actividad del usuario en el sitio web o la aplicación móvil.

Como siempre, dos caras de la moneda. Una ventaja tecnológica que tiene la cruz en la privacidad del usuario. Recuerda la AEPD que los principios del RGPD son de obligado cumplimiento, incluyendo el principio de transparencia. Y muchas veces los usuarios no somos informados debidamente.

Es necesario que estemos siempre alerta. ¡Cuidémonos!

A la tercera, ¿va la vencida?

por

El Acuerdo Transatlántico de Protección de Datos (ATP) es un nuevo marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo fue anunciado en febrero de 2021, después de meses de negociaciones, y busca proporcionar un marco actualizado y más sólido para la transferencia de datos personales.

El Acuerdo

El ATP se basa en un conjunto de normas y compromisos que los proveedores de servicios deben cumplir para garantizar que los datos personales sean tratados de manera justa y transparente. Estas normas incluyen la obligación de los proveedores de servicios de proporcionar información clara y concisa sobre cómo se utilizarán los datos personales, así como el derecho de los individuos a acceder y rectificar sus datos personales.

El ATP también establece una serie de controles y medidas de seguridad para proteger los datos personales de los ciudadanos europeos. Estas medidas incluyen la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, así como la obligación de notificar a las autoridades pertinentes en caso de una violación de datos.

Además, el ATP se centra en la supervisión y el cumplimiento. El ATP establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas que no cumplan con los requisitos del ATP se enfrentarán a sanciones y medidas disciplinarias.

Una de las principales diferencias entre el ATP y sus predecesores es que el ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales. Estos compromisos incluyen la promesa de que las autoridades de Estados Unidos solo podrán acceder a los datos personales de los ciudadanos europeos en casos específicos y limitados, y solo si se han agotado otras opciones. Además, el gobierno de Estados Unidos se ha comprometido a crear un mecanismo de recurso independiente para que los ciudadanos europeos puedan presentar quejas y buscar reparación en caso de que se produzcan violaciones de datos.

La falta de acuerdo anterior

El acuerdo anterior, Privacy Shield (Escudo de Privacidad), fue diseñado para proporcionar un marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo se basaba en una serie de compromisos y garantías por parte del gobierno de Estados Unidos en relación con la protección de datos personales.

Sin embargo, en julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) declaró la invalidez del Privacy Shield, argumentando que el marco no garantizaba adecuadamente la protección de los datos personales de los ciudadanos europeos en manos de las empresas estadounidenses.

La decisión fue recibida con preocupación por las empresas que dependen de la transferencia de datos entre Europa y Estados Unidos para llevar a cabo sus operaciones. Las empresas que no pudieron cumplir con los requisitos de Privacy Shield se vieron obligadas a suspender o restringir sus operaciones en Europa.

El impacto en las empresas

El impacto más obvio del ATP en las empresas es que tendrán que cumplir con nuevos requisitos en relación con la protección de datos personales. Esto puede implicar la revisión y actualización de las políticas y prácticas de privacidad, la implementación de nuevas medidas de seguridad, la contratación de personal adicional y la adopción de nuevas tecnologías para garantizar el cumplimiento del ATP.

Las empresas también tendrán que garantizar que las medidas de seguridad técnicas y organizativas que implementan para proteger los datos personales sean adecuadas y eficaces. El ATP establece la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, y esto significa que las empresas tendrán que revisar y actualizar sus medidas de seguridad para garantizar que sean suficientes para proteger los datos personales.

El ATP también establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas tendrán que asegurarse de que están cumpliendo con los requisitos del ATP y estar preparadas para enfrentar sanciones y medidas disciplinarias si no lo hacen.

Otro impacto importante del ATP es que las empresas tendrán que prestar atención a los cambios en la regulación y las prácticas de privacidad en Europa y Estados Unidos. El ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales, y esto significa que cualquier cambio en la regulación o las prácticas de privacidad en Estados Unidos puede tener un impacto en el cumplimiento del ATP.

Además, el ATP puede tener un impacto en la reputación y la confianza de la empresa. Los clientes y los consumidores pueden valorar cada vez más la privacidad y la seguridad de los datos personales, y las empresas que no cumplan con los requisitos del ATP pueden enfrentar críticas y pérdida de confianza por parte de sus clientes y consumidores.

Sin embargo, también hay algunos beneficios para las empresas que cumplen con los requisitos del ATP. Por ejemplo, el cumplimiento del ATP puede mejorar la protección de los datos personales y reducir el riesgo de violaciones de datos, lo que puede tener un impacto positivo en la reputación de la empresa y en la confianza de los clientes y consumidores.

Además, el cumplimiento del ATP puede ayudar a las empresas a cumplir con otras regulaciones y estándares de privacidad en todo el mundo. Muchos países y regiones tienen leyes y regulaciones de privacidad similares al ATP.

Resumen

El Acuerdo no es firme todavía y quizás pasen meses hasta que se ratifique. Mientras tanto, empresas como Meta ya han amenazado con suspender sus transferencias. Teniendo en cuenta que Facebook, Instagram o Whatsapp pertenecen al grupo, el impacto para usuarios, empresas y anunciantes puede ser, en términos sociales, económicos y hasta políticos, de una magnitud muy difícil de prever.

En cualquier caso, ¡cuidad vuestras transferencias internacionales y cuidaos vosotros!

MWC23, reconocimiento facial e inquietudes de privacidad

por

No es ningún secreto que la tecnología nos puede facilitar mucho la vida a las personas. Por ejemplo, a la hora entrar en el Mobile World Congress 2023. Llegas a la entrada al mismo momento que otros centenares de ciudadanos y la primera preocupación es imaginarnos una hora haciendo cola en los mostradores de acreditación. Pero no, la primera agradable sorpresa es que no hay cola. Literal. Si has hecho los deberes y dispones de tu pase de acceso digital, puedes pasar sin detenerte mediante la tecnología de reconocimiento facial. Voilà!

¿Qué es el MWC23?

Según la organización, el MWC es el evento de conectividad más grande e influyente. Y estoy seguro de que lo es. Si, según la RAE, la pornografía es la pólvoraabierta y cruda del sexo que busca producir excitación en el receptor, podemos calificar el espectáculo del Congreso como de tecnográfico.  Busca provocar la excitación en el espectador a base de presentarle abierta y crudamente las más avanzadas tecnologías. Y se ha convertido en una orgía desenfrenada de luz, de color, de imágenes de proporciones gigantescas, de sonidos, comunicaciones, espectáculos, relaciones profesionales, negocio y datos. Sobre todo, datos. Desmesuradas como poco.

La cuestión

Es muy simple. Debemos responder a la siguiente pregunta: a cambio de qué estamos dispuestos a ceder, y en qué parte, la soberanía de nuestros datos, nuestra soberanía digital.

Nuestra imagen en miles de fotografías, centenares de cámaras de vigilancia o, incluso, en selfies hechos en el stand de Samsung. Nuestros datos, incluso biométricos, esparcidos por centenares de empresas que los utilizarán, legítimamente, para múltiples propósitos. Todo impulsado por las últimas tecnologías: Big Data, Inteligencia Artificial, Machine learning, … de las que todavía no tenemos una idea clara de su alcance. ¡Asusta!

Política de Privacidad del MWC: que levante la mano quien la haya leído.

Sí, se tienen que leer, como todo. Y, como todo, no se leen. Vaya de antemano que la Política de Privacidad cumple con todos los requisitos que impone el RGPD. Y sortea bastante bien todas las dificultades que se presentan para regular el uso de tantos datos y de naturaleza tan variada. Podríamos ponerlas, incluso, como modelo para otras organizaciones.

Eso no quita que si paremos en algunas de las cláusulas, éstas resultan escalofriantes. Por ejemplo, la cantidad de datos que proporcionamos voluntariamente (incluidas las biométricas del reconocimiento facial), las informaciones que se recogen automáticamente y las que proporcionan terceras partes (a quienes hemos proporcionado voluntariamente la información).

Pasamos después a ver con quién comparten la información y vemos que lo hacen con empresas afiliadas, agentes, vendedores o proveedores de servicios, compradores potenciales y por imperativo legal. Y además, con cualquier otra persona cuando hayamos consentido la divulgación.

Y en cuanto a la transferencia internacional de datos (fuera del Área Económica Europea, Suiza y UK), nuestros datos biométricos están gestionados por una empresa con base en Hong-Kong. Y si se transfieren a otros países no adecuados, se hace con el apoyo de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

En fin, muchas partes móviles (no es un chiste) en el esquema. Muchos datos, de muchas personas y que gestionan muchas empresas en una variedad de circunstancias. Definitivamente, muy complejo.

Vale decir, también, que nos ofrecen muchas maneras de controlar nuestra información. Repito, todo conforme a ley. Y esta Política de Privacidad puede servir de modelo para otros textos de privacidad.

¿Qué podemos hacer?

Pues preocuparnos nosotros mismos por nuestra privacidad. Está bien que las empresas se preocupen de ello, es su obligación, pero nosotros no podemos rehuir de la nuestra. La privacidad, bien entendida, empieza por uno mismo (como decía un viejo anuncio). Y nuestra privacidad debe ser activa, militante, dispuestos a defenderla en cualquier circunstancia. No podemos tener ninguna expectativa de privacidad si nosotros no somos muy respetuosos con ella. No puede ser de otra manera.

Y para pasar a la acción, lo primero que necesitamos es saber qué sabe Internet de nosotros. Esto lo podemos hacer gracias a nuestro Servicio de Huella Digital apoyados por nuestro partner Youforget.me. A partir de aquí, os ayudaremos a retomar lo que nunca teníamos que haber perdido: la soberanía de nuestros datos.

De pequeño, mis padres siempre me advertían que no aceptara nunca caramelos de desconocidos. Y ahora, de mayor, no hago otra cosa todo el día. ¡Cuidáis vuestra privacidad!

Tiempos revueltos para Google y para todos

por

Semana intensa para Google y Microsoft, lo que quiere decir semana intensa para casi todo el mundo.  Por un lado, Micrososoft presentaba la nueva versión de Bing (su buscador) con ChatGPT que promete ser una revolución importante. Por otro, Google, en una reunión apresurada, intentaba contraprogramar el anuncio de Microsoft con tan poco éxito de que sus acciones cayeron hasta un 10%.

Pero ¿qué pasa exactamente?

Ocurre que la integración de ChapGPT con Bing supone una grave amenaza para Google por que ataca directamente a su funcionalidad core: las búsquedas.

¿Y qué es ChatGPT?

La tecnología avanza cada día de forma exagerada pero, ahora mismo, hay dos herramientas que serán absolutamente disruptivas: la Inteligencia Artificial (AI, por sus siglas en inglés) y el Metaverso (del que hablaremos otro día).

En el campo de la AI, el producto del momento es ChatGPT. Se trata de una inteligencia artificial entrenada para mantener conversaciones. De forma que solo hay que hacerle preguntas en lenguaje natural y te proporciona las respuestas. Y las respuestas son acertadas y completas. Además, las expresiones son muy naturales y la información cada día más precisa.

Incluso, esta AI tiene sentido del contexto y recuerda toda la conversación mantenida, de manera que, si le haces una pregunta relacionada con la explicación dada, lo entenderá sin tener que volver a empezar.

Algunos ejemplos de las posibilidades de ChatGPT

Servicio al cliente automatizado, generación de informes, análisis de sentimiento, gestión del conocimiento, traducción automática, generar canciones o poemas, imitar la forma de escribir de otra persona, chistes, listas de páginas web, trivials, crear plantillas, crear exámenes, análisis de productos, comparador, fórmulas de Excel, consejos de salud, sugerencia de juegos, libros, películas o series, … Ahora mismo y de verdad, el límite es la imaginación.

¿Y por qué tanto lío con Google?

Porque Microsoft lo ha incorporado en su buscador Bing. Y eso pone en una disyuntiva muy complicada a Google. Si no lo incorpora en su buscador, puede ser que millones de usuarios se pasen a Bing (que hasta ahora tenía una cuota ridícula) porque prefieran las respuestas acabadas de ChatGPT (por ejemplo, para entregar un trabajo en la escuela hecho en unos minutos) que no buscar en Google y recibir una respuesta de millones de páginas encontradas que supone tener que averiguar cuáles son las interesantes para,  después, extraer la información y resumirla.

Y si Google incorpora Bard, su chat de AI, también supone un problema. Si sus usuarios lo usan en lugar de hacer la búsqueda, ¿qué pasará con los anunciantes y el SEO? Se pone en peligro toda una industria que representa una fabulosa facturación anual.

Conclusión

ChatGPT puede haber empezado a cavar la tumba de Google. Y, detrás de Google, iremos todos (no a la tumba, claro, pero vienen tiempos interesantes). Da igual que seas abogado, escritor, diseñador, profesores, vendedores, estudiantes, cantante, compositor y una larga lista de profesiones y actividades humanas que tendremos que reinterpretar.

Y, ahora, añadámosle el Metaverso a la ecuación y tendremos un panorama absolutamente disruptivo con consecuencias difíciles de prever.

¡Como siempre, cuidaos (también en el Metaverso, del que hablaremos otro día)!

Además del affaire Shakira-Piqué, en el mundo pasan más cosas

por

Por ejemplo, mañana celebramos el Día Europeo de la Protección de Datos. El 2022 ha sido de gran actividad legislativa que afectará a las empresas en esta materia ya en este 2023. Recordaremos las principales y apuntaremos algunos detalles.

En pleno tsunami de la inteligencia artificial –con ChaptGPT como máximo exponente– he tenido la tentación de escribir este post usando esta herramienta que ahora está de moda. No lo he hecho, naturalmente, por muchas razones. Digamos ética, dignidad o vergüenza profesional. Pero lo importante es entender que esta tecnología, como otras, tendrá un impacto enorme en nuestra sociedad. Y que la Protección de Datos toma un papel muy destacado en defensa de nuestra privacidad. Y, como se dice habitualmente, es cosa de todos.

Podemos poner algunos ejemplos. Microsoft saca al mercado VALL-E, una IA como ChatGPT que imita tu voz escuchándote tan solo durante 3 segundos. Imita la voz, la cadencia, incluso, el ambiente. Y para hacerlo fácil (y para intentar aumentar cuota), Microsoft quiere integrar estas herramientas en su buscador Bing. Y, claro, eso ha puesto de los nervios a Google.

Sea como fuere, está claro que las tecnologías avanzan de forma exponencial y, cada día más, tienen un fuerte impacto en nuestra privacidad. Por eso todos, –administraciones, legisladores, operadores jurídicos, empresas y, por supuesto, los usuarios– tenemos que hacer un esfuerzo permanente para que este nivel de protección conseguido con el RGPD no sólo se mantenga, si no que vaya a más.

Avances normativos

Este 2022, el legislador nos ha ayudado aprobando una serie de medidas, todas encaminadas a conseguir, al menos intentarlo, ir a la par con las tecnologías. Recordemos las siguientes:

  1. Ley Europea de Inteligencia Artificial (aplicable a todos los usos que afecten a ciudadanos de la UE).
  2. Ley de Mercados Digitales y la Ley de Servicios Digitales (la primera, para vigilar a las grandes plataformas digitales («gatekeepers«) y la segunda, para crear un entorno online más seguro y responsable).
  3. Nuevo acuerdo de protección de datos entre Europa y EEUU (para sustituir al Privacy Shield).
  4. Directiva NIS 2 (medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la UE).
  5. Propuesta de Reglamento de Ciberseguridad en productos con elementos digitales (para establecer requisitos de ciberseguridad en toda la UE por una amplia gama de productos de software, hardware, navegadores, sistemas operativos y una larga lista de soluciones de procesamiento de datos en remoto).

Todas las iniciativas son muy interesantes y van encaminadas a la protección de los usuarios online. En próximos posts entraremos en más detalle en cada una de las normativas.

Recomendaciones

Como decíamos al principio, la protección de datos es cosa de todos. Nuestra, también. Por lo tanto, mañana 28 de enero, es un buen momento para revisar todas nuestras rutinas de protección y seguridad. Y, si necesitamos ayuda, INCIBE.

Como siempre, cuidámonos y cuidemos nuestros datos!

Protección de datos: ¡hay que hilar fino siempre!

por

En todas las áreas del derecho debemos ser extremadamente rigurosos como corresponde pero parece que la protección de datos sea la solterona (o solterón) del ordenamiento jurídico. Así, es una rama del derecho, en el marco de la privacidad, a la que se le invita con desgana, se tolera porque no hay más remedio y se obedece cada día más, sobre todo, por las sanciones.

¿Qué ha pasado esta vez?

Pues que la Agencia Española de Protección de Datos ha impuesto una multa a una empresa de mensajería por entregar un pedido a un vecino del destinatario, sin la preceptiva autorización. Tanto simple como eso con un resultado doloroso.

Los hechos

Desde siempre se han entregado paquetes a domicilio. La empresa estatal de Correos, sin ir más lejos, lo viene haciendo desde el mismo día que se creó. Pero, claro, con el comienzo de la pandemia la actividad se disparó de manjar exponencial.

Una persona compra por internet un producto en Media Markt que es entregado por la empresa de mensajería UPS. El repartidor, al no encontrar al destinatario en su domicilio, decide entregarlo a un vecino, sin tener autorización.

El afectado reclama primeramente a Media Markt pero la AEPD considera que es UPS el responsable de garantizar los datos del cliente.

¿Qué dice la Agencia?

La Agencia considera en su resolución que la conducta del repartidor ha vulnerado el artículo 5.1.f) y el artículo 32 del Reglamento General de Protección de Datos (RGPD) «al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes».

El resultado

Pues la Agencia ha impuesto a UPS una multa de 50.000€ por la primera infracción y de 20.000€, por la segunda. Es decir, considera la AEPD que la empresa denunciada ha cedido los datos del reclamante a un tercero, sin su consentimiento.

Ahora viene Navidad …

Pues sí, ahora vienen las fiestas de Navidad, periodo en el que el reparto de paquetería llega a sus máximos del año. Y a esto hay que añadir las prisas, los pedidos de última hora y el festival de las devoluciones. Y tener en cuenta que, muchas veces por buena fe o con ganas de ayudar, podemos estar comprometiendo datos personales. Y si lo que dejan en casa del vecino es un jamón, pues todavía. Pero si lo que dejan es el último modelo de «satisfyer» en un envoltorio poco discreto, quizás, además, nos enfadaremos.

Como siempre, ¡cuidado con los paquetes y cuidaos!

¡Y ahora llega el (maldito) currículum!

por

Una vez más, una empresa, concretamente un despacho de abogados, ha sido sancionada por incumplir al RGPD en el tratamiento del currículum de un candidato. ¿El resultado? una sanción de 10.000€. No es la primera, no será la última.

Ya hemos hablado en otras ocasiones del tema currículum. Tanto empresas como candidatos parten de premisas equivocadas, obsoletas o directamente falsas. Los candidatos, enviando currículos a diestro y siniestro, sin reparar que están exponiendo sus datos sin control; las empresas, en más casos de los deseables, tratando los currículos sin el cuidado necesario por falta de conocimientos, protocolos y, a menudo, de empatía hacia el candidato.

Si hay un momento en la vida en el que exponemos numerosos datos personales, éste es cuando entregamos el currículum a una empresa con el fin de que nos contraten. Como candidatos debemos exigir que nuestros datos se traten debidamente (por lo que ayudaría conocer mínimamente la normativa). Y como empresa, faltaría más, debemos cumplir escrupulosamente con el RGPD porque es ley y porque es el trato correcto con las personas.

Dos partes que deberían estar en equilibrio. El candidato quiere, obviamente, que lo contraten y conseguir un puesto de trabajo acorde a sus méritos y la empresa quiere contratar talento que le aporte valor.
Hagamos, por tanto, que, independientemente del resultado, la experiencia resulte satisfactoria para todos.

Los hechos

El reclamante envió el currículum en respuesta a una oferta de trabajo y fue convocada a una entrevista, sin informarla en ningún momento del nombre de la empresa ni ningún dato identificativo.

Al llegar a la sala de la entrevista, el entrevistador entró con el currículum de la candidata impreso. No se le advirtió del tratamiento se pensaba dar a los datos personales, ni del tratamiento que ya se había hecho. No se ofreció ningún tipo de información en cumplimiento de RGPD.

La única manera de saber quién la entrevistó fue gracias a unas pegatinas que había en la oficina. Además, en la web corporativa tampoco consta ninguna información relativa al RGPD.

Las consideraciones de la AEPD

Pues según la AEPD, el despacho obtuvo datos personales de los usuarios de la página web sin previo consentimiento, en un formulario donde introducir nombre, correo y asunto y pulsando la opción “Enviar” para enviarlo, sin más requisitos.

En cuanto a la Política de Privacidad, nos encontramos con que se proporciona una información totalmente insuficiente, faltando, por ejemplo, la identidad y datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercer los derechos que asisten a los usuarios y cómo y dónde ejercerlos.

¿Qué debemos hacer?

La lista de incumplimientos del despacho da para escribir un libro, sin contar con que la conducta es la de un despacho de abogados que, por su naturaleza, debería poner más cuidado en el tratamiento de los datos personales.

Nuestra recomendación es que la empresa disponga, al menos, de un Protocolo de tratamiento del CV (desde la publicación de la oferta hasta la desestimación del candidato) y un conjunto de documentos básicos que permitan recoger el consentimiento para el tratamiento y para la entrevista de trabajo y circulares informativas del tratamiento (y del no tratamiento). Y recordar que si la selección se realiza a través de un portal de empleo o una agencia de colocación será necesario tener firmado el preceptivo contrato de encargado de tratamiento.

Todo ello, entendiendo que la empresa está debidamente adecuada a la normativa de Protección de Datos. Si no, estaremos incumpliendo y no servirá de nada nuestro esfuerzo.

Como siempre, ¡cuidad los currículos y cuídaos!

Revisión Textos Legales Web