Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

A la tercera, ¿va la vencida?

por

El Acuerdo Transatlántico de Protección de Datos (ATP) es un nuevo marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo fue anunciado en febrero de 2021, después de meses de negociaciones, y busca proporcionar un marco actualizado y más sólido para la transferencia de datos personales.

El Acuerdo

El ATP se basa en un conjunto de normas y compromisos que los proveedores de servicios deben cumplir para garantizar que los datos personales sean tratados de manera justa y transparente. Estas normas incluyen la obligación de los proveedores de servicios de proporcionar información clara y concisa sobre cómo se utilizarán los datos personales, así como el derecho de los individuos a acceder y rectificar sus datos personales.

El ATP también establece una serie de controles y medidas de seguridad para proteger los datos personales de los ciudadanos europeos. Estas medidas incluyen la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, así como la obligación de notificar a las autoridades pertinentes en caso de una violación de datos.

Además, el ATP se centra en la supervisión y el cumplimiento. El ATP establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas que no cumplan con los requisitos del ATP se enfrentarán a sanciones y medidas disciplinarias.

Una de las principales diferencias entre el ATP y sus predecesores es que el ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales. Estos compromisos incluyen la promesa de que las autoridades de Estados Unidos solo podrán acceder a los datos personales de los ciudadanos europeos en casos específicos y limitados, y solo si se han agotado otras opciones. Además, el gobierno de Estados Unidos se ha comprometido a crear un mecanismo de recurso independiente para que los ciudadanos europeos puedan presentar quejas y buscar reparación en caso de que se produzcan violaciones de datos.

La falta de acuerdo anterior

El acuerdo anterior, Privacy Shield (Escudo de Privacidad), fue diseñado para proporcionar un marco para la transferencia de datos personales entre Europa y Estados Unidos. Este acuerdo se basaba en una serie de compromisos y garantías por parte del gobierno de Estados Unidos en relación con la protección de datos personales.

Sin embargo, en julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) declaró la invalidez del Privacy Shield, argumentando que el marco no garantizaba adecuadamente la protección de los datos personales de los ciudadanos europeos en manos de las empresas estadounidenses.

La decisión fue recibida con preocupación por las empresas que dependen de la transferencia de datos entre Europa y Estados Unidos para llevar a cabo sus operaciones. Las empresas que no pudieron cumplir con los requisitos de Privacy Shield se vieron obligadas a suspender o restringir sus operaciones en Europa.

El impacto en las empresas

El impacto más obvio del ATP en las empresas es que tendrán que cumplir con nuevos requisitos en relación con la protección de datos personales. Esto puede implicar la revisión y actualización de las políticas y prácticas de privacidad, la implementación de nuevas medidas de seguridad, la contratación de personal adicional y la adopción de nuevas tecnologías para garantizar el cumplimiento del ATP.

Las empresas también tendrán que garantizar que las medidas de seguridad técnicas y organizativas que implementan para proteger los datos personales sean adecuadas y eficaces. El ATP establece la obligación de los proveedores de servicios de implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, y esto significa que las empresas tendrán que revisar y actualizar sus medidas de seguridad para garantizar que sean suficientes para proteger los datos personales.

El ATP también establece un mecanismo de supervisión para garantizar que los proveedores de servicios cumplan con sus obligaciones en relación con la protección de datos personales. Las empresas tendrán que asegurarse de que están cumpliendo con los requisitos del ATP y estar preparadas para enfrentar sanciones y medidas disciplinarias si no lo hacen.

Otro impacto importante del ATP es que las empresas tendrán que prestar atención a los cambios en la regulación y las prácticas de privacidad en Europa y Estados Unidos. El ATP se basa en una serie de compromisos y garantías que el gobierno de Estados Unidos ha asumido en relación con la protección de datos personales, y esto significa que cualquier cambio en la regulación o las prácticas de privacidad en Estados Unidos puede tener un impacto en el cumplimiento del ATP.

Además, el ATP puede tener un impacto en la reputación y la confianza de la empresa. Los clientes y los consumidores pueden valorar cada vez más la privacidad y la seguridad de los datos personales, y las empresas que no cumplan con los requisitos del ATP pueden enfrentar críticas y pérdida de confianza por parte de sus clientes y consumidores.

Sin embargo, también hay algunos beneficios para las empresas que cumplen con los requisitos del ATP. Por ejemplo, el cumplimiento del ATP puede mejorar la protección de los datos personales y reducir el riesgo de violaciones de datos, lo que puede tener un impacto positivo en la reputación de la empresa y en la confianza de los clientes y consumidores.

Además, el cumplimiento del ATP puede ayudar a las empresas a cumplir con otras regulaciones y estándares de privacidad en todo el mundo. Muchos países y regiones tienen leyes y regulaciones de privacidad similares al ATP.

Resumen

El Acuerdo no es firme todavía y quizás pasen meses hasta que se ratifique. Mientras tanto, empresas como Meta ya han amenazado con suspender sus transferencias. Teniendo en cuenta que Facebook, Instagram o Whatsapp pertenecen al grupo, el impacto para usuarios, empresas y anunciantes puede ser, en términos sociales, económicos y hasta políticos, de una magnitud muy difícil de prever.

En cualquier caso, ¡cuidad vuestras transferencias internacionales y cuidaos vosotros!

MWC23, reconocimiento facial e inquietudes de privacidad

por

No es ningún secreto que la tecnología nos puede facilitar mucho la vida a las personas. Por ejemplo, a la hora entrar en el Mobile World Congress 2023. Llegas a la entrada al mismo momento que otros centenares de ciudadanos y la primera preocupación es imaginarnos una hora haciendo cola en los mostradores de acreditación. Pero no, la primera agradable sorpresa es que no hay cola. Literal. Si has hecho los deberes y dispones de tu pase de acceso digital, puedes pasar sin detenerte mediante la tecnología de reconocimiento facial. Voilà!

¿Qué es el MWC23?

Según la organización, el MWC es el evento de conectividad más grande e influyente. Y estoy seguro de que lo es. Si, según la RAE, la pornografía es la pólvoraabierta y cruda del sexo que busca producir excitación en el receptor, podemos calificar el espectáculo del Congreso como de tecnográfico.  Busca provocar la excitación en el espectador a base de presentarle abierta y crudamente las más avanzadas tecnologías. Y se ha convertido en una orgía desenfrenada de luz, de color, de imágenes de proporciones gigantescas, de sonidos, comunicaciones, espectáculos, relaciones profesionales, negocio y datos. Sobre todo, datos. Desmesuradas como poco.

La cuestión

Es muy simple. Debemos responder a la siguiente pregunta: a cambio de qué estamos dispuestos a ceder, y en qué parte, la soberanía de nuestros datos, nuestra soberanía digital.

Nuestra imagen en miles de fotografías, centenares de cámaras de vigilancia o, incluso, en selfies hechos en el stand de Samsung. Nuestros datos, incluso biométricos, esparcidos por centenares de empresas que los utilizarán, legítimamente, para múltiples propósitos. Todo impulsado por las últimas tecnologías: Big Data, Inteligencia Artificial, Machine learning, ... de las que todavía no tenemos una idea clara de su alcance. ¡Asusta!

Política de Privacidad del MWC: que levante la mano quien la haya leído.

Sí, se tienen que leer, como todo. Y, como todo, no se leen. Vaya de antemano que la Política de Privacidad cumple con todos los requisitos que impone el RGPD. Y sortea bastante bien todas las dificultades que se presentan para regular el uso de tantos datos y de naturaleza tan variada. Podríamos ponerlas, incluso, como modelo para otras organizaciones.

Eso no quita que si paremos en algunas de las cláusulas, éstas resultan escalofriantes. Por ejemplo, la cantidad de datos que proporcionamos voluntariamente (incluidas las biométricas del reconocimiento facial), las informaciones que se recogen automáticamente y las que proporcionan terceras partes (a quienes hemos proporcionado voluntariamente la información).

Pasamos después a ver con quién comparten la información y vemos que lo hacen con empresas afiliadas, agentes, vendedores o proveedores de servicios, compradores potenciales y por imperativo legal. Y además, con cualquier otra persona cuando hayamos consentido la divulgación.

Y en cuanto a la transferencia internacional de datos (fuera del Área Económica Europea, Suiza y UK), nuestros datos biométricos están gestionados por una empresa con base en Hong-Kong. Y si se transfieren a otros países no adecuados, se hace con el apoyo de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

En fin, muchas partes móviles (no es un chiste) en el esquema. Muchos datos, de muchas personas y que gestionan muchas empresas en una variedad de circunstancias. Definitivamente, muy complejo.

Vale decir, también, que nos ofrecen muchas maneras de controlar nuestra información. Repito, todo conforme a ley. Y esta Política de Privacidad puede servir de modelo para otros textos de privacidad.

¿Qué podemos hacer?

Pues preocuparnos nosotros mismos por nuestra privacidad. Está bien que las empresas se preocupen de ello, es su obligación, pero nosotros no podemos rehuir de la nuestra. La privacidad, bien entendida, empieza por uno mismo (como decía un viejo anuncio). Y nuestra privacidad debe ser activa, militante, dispuestos a defenderla en cualquier circunstancia. No podemos tener ninguna expectativa de privacidad si nosotros no somos muy respetuosos con ella. No puede ser de otra manera.

Y para pasar a la acción, lo primero que necesitamos es saber qué sabe Internet de nosotros. Esto lo podemos hacer gracias a nuestro Servicio de Huella Digital apoyados por nuestro partner Youforget.me. A partir de aquí, os ayudaremos a retomar lo que nunca teníamos que haber perdido: la soberanía de nuestros datos.

De pequeño, mis padres siempre me advertían que no aceptara nunca caramelos de desconocidos. Y ahora, de mayor, no hago otra cosa todo el día. ¡Cuidáis vuestra privacidad!

Tiempos revueltos para Google y para todos

por

Semana intensa para Google y Microsoft, lo que quiere decir semana intensa para casi todo el mundo.  Por un lado, Micrososoft presentaba la nueva versión de Bing (su buscador) con ChatGPT que promete ser una revolución importante. Por otro, Google, en una reunión apresurada, intentaba contraprogramar el anuncio de Microsoft con tan poco éxito de que sus acciones cayeron hasta un 10%.

Pero ¿qué pasa exactamente?

Ocurre que la integración de ChapGPT con Bing supone una grave amenaza para Google por que ataca directamente a su funcionalidad core: las búsquedas.

¿Y qué es ChatGPT?

La tecnología avanza cada día de forma exagerada pero, ahora mismo, hay dos herramientas que serán absolutamente disruptivas: la Inteligencia Artificial (AI, por sus siglas en inglés) y el Metaverso (del que hablaremos otro día).

En el campo de la AI, el producto del momento es ChatGPT. Se trata de una inteligencia artificial entrenada para mantener conversaciones. De forma que solo hay que hacerle preguntas en lenguaje natural y te proporciona las respuestas. Y las respuestas son acertadas y completas. Además, las expresiones son muy naturales y la información cada día más precisa.

Incluso, esta AI tiene sentido del contexto y recuerda toda la conversación mantenida, de manera que, si le haces una pregunta relacionada con la explicación dada, lo entenderá sin tener que volver a empezar.

Algunos ejemplos de las posibilidades de ChatGPT

Servicio al cliente automatizado, generación de informes, análisis de sentimiento, gestión del conocimiento, traducción automática, generar canciones o poemas, imitar la forma de escribir de otra persona, chistes, listas de páginas web, trivials, crear plantillas, crear exámenes, análisis de productos, comparador, fórmulas de Excel, consejos de salud, sugerencia de juegos, libros, películas o series, ... Ahora mismo y de verdad, el límite es la imaginación.

¿Y por qué tanto lío con Google?

Porque Microsoft lo ha incorporado en su buscador Bing. Y eso pone en una disyuntiva muy complicada a Google. Si no lo incorpora en su buscador, puede ser que millones de usuarios se pasen a Bing (que hasta ahora tenía una cuota ridícula) porque prefieran las respuestas acabadas de ChatGPT (por ejemplo, para entregar un trabajo en la escuela hecho en unos minutos) que no buscar en Google y recibir una respuesta de millones de páginas encontradas que supone tener que averiguar cuáles son las interesantes para,  después, extraer la información y resumirla.

Y si Google incorpora Bard, su chat de AI, también supone un problema. Si sus usuarios lo usan en lugar de hacer la búsqueda, ¿qué pasará con los anunciantes y el SEO? Se pone en peligro toda una industria que representa una fabulosa facturación anual.

Conclusión

ChatGPT puede haber empezado a cavar la tumba de Google. Y, detrás de Google, iremos todos (no a la tumba, claro, pero vienen tiempos interesantes). Da igual que seas abogado, escritor, diseñador, profesores, vendedores, estudiantes, cantante, compositor y una larga lista de profesiones y actividades humanas que tendremos que reinterpretar.

Y, ahora, añadámosle el Metaverso a la ecuación y tendremos un panorama absolutamente disruptivo con consecuencias difíciles de prever.

¡Como siempre, cuidaos (también en el Metaverso, del que hablaremos otro día)!

Además del affaire Shakira-Piqué, en el mundo pasan más cosas

por

Por ejemplo, mañana celebramos el Día Europeo de la Protección de Datos. El 2022 ha sido de gran actividad legislativa que afectará a las empresas en esta materia ya en este 2023. Recordaremos las principales y apuntaremos algunos detalles.

En pleno tsunami de la inteligencia artificial –con ChaptGPT como máximo exponente– he tenido la tentación de escribir este post usando esta herramienta que ahora está de moda. No lo he hecho, naturalmente, por muchas razones. Digamos ética, dignidad o vergüenza profesional. Pero lo importante es entender que esta tecnología, como otras, tendrá un impacto enorme en nuestra sociedad. Y que la Protección de Datos toma un papel muy destacado en defensa de nuestra privacidad. Y, como se dice habitualmente, es cosa de todos.

Podemos poner algunos ejemplos. Microsoft saca al mercado VALL-E, una IA como ChatGPT que imita tu voz escuchándote tan solo durante 3 segundos. Imita la voz, la cadencia, incluso, el ambiente. Y para hacerlo fácil (y para intentar aumentar cuota), Microsoft quiere integrar estas herramientas en su buscador Bing. Y, claro, eso ha puesto de los nervios a Google.

Sea como fuere, está claro que las tecnologías avanzan de forma exponencial y, cada día más, tienen un fuerte impacto en nuestra privacidad. Por eso todos, –administraciones, legisladores, operadores jurídicos, empresas y, por supuesto, los usuarios– tenemos que hacer un esfuerzo permanente para que este nivel de protección conseguido con el RGPD no sólo se mantenga, si no que vaya a más.

Avances normativos

Este 2022, el legislador nos ha ayudado aprobando una serie de medidas, todas encaminadas a conseguir, al menos intentarlo, ir a la par con las tecnologías. Recordemos las siguientes:

  1. Ley Europea de Inteligencia Artificial (aplicable a todos los usos que afecten a ciudadanos de la UE).
  2. Ley de Mercados Digitales y la Ley de Servicios Digitales (la primera, para vigilar a las grandes plataformas digitales ("gatekeepers") y la segunda, para crear un entorno online más seguro y responsable).
  3. Nuevo acuerdo de protección de datos entre Europa y EEUU (para sustituir al Privacy Shield).
  4. Directiva NIS 2 (medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la UE).
  5. Propuesta de Reglamento de Ciberseguridad en productos con elementos digitales (para establecer requisitos de ciberseguridad en toda la UE por una amplia gama de productos de software, hardware, navegadores, sistemas operativos y una larga lista de soluciones de procesamiento de datos en remoto).

Todas las iniciativas son muy interesantes y van encaminadas a la protección de los usuarios online. En próximos posts entraremos en más detalle en cada una de las normativas.

Recomendaciones

Como decíamos al principio, la protección de datos es cosa de todos. Nuestra, también. Por lo tanto, mañana 28 de enero, es un buen momento para revisar todas nuestras rutinas de protección y seguridad. Y, si necesitamos ayuda, INCIBE.

Como siempre, cuidámonos y cuidemos nuestros datos!

Protección de datos: ¡hay que hilar fino siempre!

por

En todas las áreas del derecho debemos ser extremadamente rigurosos como corresponde pero parece que la protección de datos sea la solterona (o solterón) del ordenamiento jurídico. Así, es una rama del derecho, en el marco de la privacidad, a la que se le invita con desgana, se tolera porque no hay más remedio y se obedece cada día más, sobre todo, por las sanciones.

¿Qué ha pasado esta vez?

Pues que la Agencia Española de Protección de Datos ha impuesto una multa a una empresa de mensajería por entregar un pedido a un vecino del destinatario, sin la preceptiva autorización. Tanto simple como eso con un resultado doloroso.

Los hechos

Desde siempre se han entregado paquetes a domicilio. La empresa estatal de Correos, sin ir más lejos, lo viene haciendo desde el mismo día que se creó. Pero, claro, con el comienzo de la pandemia la actividad se disparó de manjar exponencial.

Una persona compra por internet un producto en Media Markt que es entregado por la empresa de mensajería UPS. El repartidor, al no encontrar al destinatario en su domicilio, decide entregarlo a un vecino, sin tener autorización.

El afectado reclama primeramente a Media Markt pero la AEPD considera que es UPS el responsable de garantizar los datos del cliente.

¿Qué dice la Agencia?

La Agencia considera en su resolución que la conducta del repartidor ha vulnerado el artículo 5.1.f) y el artículo 32 del Reglamento General de Protección de Datos (RGPD) "al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes".

El resultado

Pues la Agencia ha impuesto a UPS una multa de 50.000€ por la primera infracción y de 20.000€, por la segunda. Es decir, considera la AEPD que la empresa denunciada ha cedido los datos del reclamante a un tercero, sin su consentimiento.

Ahora viene Navidad ...

Pues sí, ahora vienen las fiestas de Navidad, periodo en el que el reparto de paquetería llega a sus máximos del año. Y a esto hay que añadir las prisas, los pedidos de última hora y el festival de las devoluciones. Y tener en cuenta que, muchas veces por buena fe o con ganas de ayudar, podemos estar comprometiendo datos personales. Y si lo que dejan en casa del vecino es un jamón, pues todavía. Pero si lo que dejan es el último modelo de "satisfyer" en un envoltorio poco discreto, quizás, además, nos enfadaremos.

Como siempre, ¡cuidado con los paquetes y cuidaos!

¡Y ahora llega el (maldito) currículum!

por

Una vez más, una empresa, concretamente un despacho de abogados, ha sido sancionada por incumplir al RGPD en el tratamiento del currículum de un candidato. ¿El resultado? una sanción de 10.000€. No es la primera, no será la última.

Ya hemos hablado en otras ocasiones del tema currículum. Tanto empresas como candidatos parten de premisas equivocadas, obsoletas o directamente falsas. Los candidatos, enviando currículos a diestro y siniestro, sin reparar que están exponiendo sus datos sin control; las empresas, en más casos de los deseables, tratando los currículos sin el cuidado necesario por falta de conocimientos, protocolos y, a menudo, de empatía hacia el candidato.

Si hay un momento en la vida en el que exponemos numerosos datos personales, éste es cuando entregamos el currículum a una empresa con el fin de que nos contraten. Como candidatos debemos exigir que nuestros datos se traten debidamente (por lo que ayudaría conocer mínimamente la normativa). Y como empresa, faltaría más, debemos cumplir escrupulosamente con el RGPD porque es ley y porque es el trato correcto con las personas.

Dos partes que deberían estar en equilibrio. El candidato quiere, obviamente, que lo contraten y conseguir un puesto de trabajo acorde a sus méritos y la empresa quiere contratar talento que le aporte valor.
Hagamos, por tanto, que, independientemente del resultado, la experiencia resulte satisfactoria para todos.

Los hechos

El reclamante envió el currículum en respuesta a una oferta de trabajo y fue convocada a una entrevista, sin informarla en ningún momento del nombre de la empresa ni ningún dato identificativo.

Al llegar a la sala de la entrevista, el entrevistador entró con el currículum de la candidata impreso. No se le advirtió del tratamiento se pensaba dar a los datos personales, ni del tratamiento que ya se había hecho. No se ofreció ningún tipo de información en cumplimiento de RGPD.

La única manera de saber quién la entrevistó fue gracias a unas pegatinas que había en la oficina. Además, en la web corporativa tampoco consta ninguna información relativa al RGPD.

Las consideraciones de la AEPD

Pues según la AEPD, el despacho obtuvo datos personales de los usuarios de la página web sin previo consentimiento, en un formulario donde introducir nombre, correo y asunto y pulsando la opción “Enviar” para enviarlo, sin más requisitos.

En cuanto a la Política de Privacidad, nos encontramos con que se proporciona una información totalmente insuficiente, faltando, por ejemplo, la identidad y datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercer los derechos que asisten a los usuarios y cómo y dónde ejercerlos.

¿Qué debemos hacer?

La lista de incumplimientos del despacho da para escribir un libro, sin contar con que la conducta es la de un despacho de abogados que, por su naturaleza, debería poner más cuidado en el tratamiento de los datos personales.

Nuestra recomendación es que la empresa disponga, al menos, de un Protocolo de tratamiento del CV (desde la publicación de la oferta hasta la desestimación del candidato) y un conjunto de documentos básicos que permitan recoger el consentimiento para el tratamiento y para la entrevista de trabajo y circulares informativas del tratamiento (y del no tratamiento). Y recordar que si la selección se realiza a través de un portal de empleo o una agencia de colocación será necesario tener firmado el preceptivo contrato de encargado de tratamiento.

Todo ello, entendiendo que la empresa está debidamente adecuada a la normativa de Protección de Datos. Si no, estaremos incumpliendo y no servirá de nada nuestro esfuerzo.

Como siempre, ¡cuidad los currículos y cuídaos!

¡Ay!, la (maldita) copia oculta

por

Debemos reconocerlo. A todos nos ha pasado, por ir con prisas y no fijarnos o simplemente porque en el momento supremo de enviar el correo una distracción –llaman al móvil o alguien nos interrumpe – hace que enviemos los correos a un conjunto de destinatarios sin poner en copia oculta (CCO). Y una vez pulsada la tecla de Enviar, sale, inevitablemente de lo más profundo de nuestra garganta, un “Ay!” que se hace sentir por toda la estancia. Sin embargo, ya es tarde. Irremediablemente tarde.

Pues eso le ocurrió a una inmobiliaria aquí, en Terrassa. Y, como no puede ser de otra forma, con consecuencias no deseadas (ver resolución AEPD). Por la empresa y, lo que es peor, por los destinatarios que vieron expuestos sus datos personales. Vamos a contarlo.

Los hechos

Una empresa inmobiliaria remite un correo electrónico, a una pluralidad de destinatarios, sin utilizar la modalidad de copia oculta, lo que permite que terceros tengan conocimiento de la dirección de correo electrónico del reclamante. ¿Fácil de entender? Pues sí. No se pueden desvelar datos personales, ni siquiera el correo, porque vulnera el artículo 5.1.f) del RGPD. Y el 32 también, como veremos.

Las consideraciones de la AEPD

La Agencia considera que la entidad reclamada, con su actuación, ha cedido los datos a terceros sin causa que lo legitime y, por tanto, ha realizado un tratamiento de los datos personales, cuya custodia tiene encomendada, contrario a derecho . La empresa ha violado el principio de integridad y confidencialidad (artículo 5.1.f) RGPD), así como no haber adoptado las medidas de seguridad necesarias para garantizar la protección de datos de carácter personal de sus clientes (artículo 32 RGPD), al no utilizar la modalidad de copia oculta del correo electrónico.

Multa por dos conceptos

La primera multa, por la infracción del artículo 5.1.f) RGPD, se cuantifica (tras la graduación de la sanción) en 6.000€.
La segunda, por infracción del artículo 32 RGPD, es de 3.000 €.
Hacen un total de 9.000 €.

No está mal una multa de 9.000€ por una acción que se podría haber evitado sólo pegando el listado en el campo CCO del editor de correo. Además, la empresa, de forma inusitada, no contestó al requerimiento de la AEPD ni presentó ninguna alegación (de las comunicaciones con la AEPD hablaremos otro día).

Apuntes

Pero más allá del hecho puntual, doloroso pero asumible, está el bien jurídico que quiere protegerse que no es otro que la privacidad de los datos personales. Y aquí sí debemos prestar atención. Se trata de realizar un tratamiento escrupuloso de los datos personales que nos encomiendan. Aplicar los principios del RGPD como la transparencia, minimización, integridad, confidencialidad y demás, y, sobre todo, el de la lealtad con el interesado.

Como siempre, ¡cuidados!

Google Chrome? No tan incógnito …

por

Google Chrome es, con diferencia, el buscador más utilizado por los usuarios que navegan por Internet. Muy por delante de Edge, Safari y los demás. Además, el servicio lo proporciona una gran compañía -grande en todos los sentidos- que hace que tengamos la percepción de que es un buen producto, merecedor de toda nuestra confianza. Pues bien, esto no debería ser exactamente así, por nuestra seguridad y privacidad.

Chrome, como otros navegadores, dispone de un método de navegación que denomina “incógnito”. La RAE, en la segunda acepción, define incógnito como "situación de un personaje público que actúa como persona privada". Es decir, persona que desea pasar por desconocida en su viaje virtual, en este caso, a la red. Y, sobre todo, sentirse seguro y protegido.

¿Qué es el modo incógnito?
En este modo, el navegador elimina los datos locales de la sesión de navegación en Internet. Quiere decir que se bloquean las cookies, no se registra el historial de navegación y cualquier otro rastreador, archivo temporal o barra de herramientas de tercero se desactivará. Y esto deja muchos datos a los que el modo incógnito no afecta para nada.

¿Es tan “incógnito”?
Pues no o al menos no es suficiente. Si inicias sesión en un sitio web, éste te identificará y podrá seguir tus actividades. No evitará que los sitios que visitas, tu centro educativo, tu empresa o proveedor de servicio de Internet puedan ver tu actividad y ubicación. Y tampoco evitará que los sitios web que visites publiquen anuncios basados ​​en tu actividad durante una sesión de incógnito.

El mensaje que destapa el asunto
Como siempre, el diablo está en detalles. La jefa de marketing de Goggle, Lorraine Twohill, envió un correo a Sundar Pichai (CEO) advirtiéndole de que los clientes estaban confundidos respecto al funcionamiento del modo incógnito y. "Haz que el modo incógnito sea realmente privado" escribió. Twohill lo envió después de que varios usuarios presentaran una demanda colectiva multimillonaria por supone seguimiento de los usuarios mientras utilizaban este modo.

Incluso los empleados avisaron
La cosa viene de lejos. Ya en 2018, un empleado compartió un informe que demostraba que los usuarios no entienden realmente cómo funciona y no saben que no protege su privacidad como ellos piensas. Para este empleado, "hay que dejar de llamarlo incógnito y de utilizar un icono con un espía" porque lleva a equivoco sobre sus características.

Recopila nuestros datos para mostrar publicidad
Google no se esconde y lo explica en un enlace pero nadie lo lee. ¿Le resulta familiar no leer las informaciones adicionales o los términos y condiciones de uso de las apps? Pues eso. Este enlace de “Más información” está bien visible en la página inicial y explica qué no hace el modo de incógnito.

En resumen
Al final, “business is business” y si fuera realmente incógnito, Google no haría negocio con nuestros datos que vende a los anunciantes. Por nuestra parte, podemos utilizarlo, como dice Google, por cuestiones inocentes como comprar un regalo por un familiar que comparte ordenador o por si salta el banner de cookies, como hacemos los profesionales de la privacidad. Por lo demás, es mejor utilizar DuckDuckGo para tener algo más de privacidad. Y queda pendiente por otro día hablar de Tor.

Como siempre, ¡cuidados!

¿Quieres acosar a alguien con un perfil falso? No es buena idea.

por

La semana pasada hablábamos de la utilización de las redes para cobrar una deuda de forma poco ortodoxa, por decirlo suavemente. Ahora queremos hablar de una práctica más que habitual y muchos más execrable como es la de abrir perfiles falsos en la redes sociales, páginas de contacto o simplemente de anuncios, provocando un acoso o directamente una humillación hacia otra persona.

Vemos algunos avances en la lucha contra la violencia digital en la nueva Ley.

La novedad

Esta conducta tendrá, a partir del próximo 7 de octubre, respuesta penal. En efecto, el día 7 entrará en vigor la nueva Ley Orgánica 10/2022, de 6 de septiembre, de Garantía Integral de la Libertad Sexual: es la conocida popularmente como "ley del sólo sí es sí".

En la nueva redacción se ha modificado el artículo 172 del Código Penal vigente para, como dice el preámbulo de la Ley,  "dar respuesta especialmente a las violencias sexuales cometidas en el ámbito digital". Y explica que estas violencias comprenden, entre otras, la difusión de actos de violencia sexual a través de medios tecnológicos, la pornografía no consentida y la extorsión sexual.

Por primera vez, los perfiles falsos en redes sociales para acosar entran en el Código Penal español.

La conducta

Ejemplos de esta conducta serían la creación de un perfil falso en una web de citas (o de escorts) con ánimo de humillarla. O subir a una red social, con una cuenta fake, imágenes humillantes retocadas con el ánimo de acosarla.

La conducta que se penaliza no es tanto crear un perfil para obtener un beneficio o perjuicio genérico, sino de la creación de un perfil falso para acosar, hostigar o humillar a otro.

Las penas

La Ley considera como delito de acoso la utilización sin permiso de la imagen de otra persona para "realizar anuncios o abrir perfiles falsos en redes sociales, páginas de contacto o cualquier medio de difusión pública, ocasionándole a la misma situación de acoso, hostigamiento o humillación". Estos hechos se castigarán también con penas de prisión tres meses a un año o multas de seis a doce meses.

El acoso en la empresa

La Ley ha modificado también otros artículos de interés que hacen referencia a los actos hostiles o humillantes que supongan grave acoso a la víctima en el ámbito de la empresa, la solicitud de favores sexuales en el ámbito de una relación laboral siempre que provoquen una situación gravemente intimidatoria, hostil o humillante o la difusión, revelación o cesión a terceros de imágenes o grabaciones sin autorización de la víctima,  lo que se conoce como sexting.

 

El acoso no ha sido nunca una buena idea, siempre ha sido un delito y, ahora, la Ley ha hecho un esfuerzo para perseguir estas conductas detestables.  Y debemos ser conscientes de que el acoso, como todas las conductas delictivas o simplemente reprobables, es cosa de todos, no sólo de los afectados. Todos podemos ayudar en nuestra medida. No mirar hacia otro lado e implicarnos ya es un paso adelante.

¡Como siempre, cuidaos!

Revisión Textos Legales Web