Reputación digital

¿Qué sabe Internet de ti?

por

El uso que hacemos de Internet, desde nuestras preferencias de navegación hasta los contenidos que compartimos en redes sociales, crean un rastro denominado huella digital.

Tu huella digital también la conforman los contenidos que comparten terceras personas sobre ti, con o sin consentimiento, y que te identifican en internet.

¿Qué es una Huella Digital?

Siempre que usamos Internet, dejamos un rastro de información personal que se conoce como huella digital. La huella se alimenta de casi todas las actividades que realizamos en la red. Por ejemplo, cuando visitamos un sitio web, hacemos una publicación en una red social, nos suscribimos a una newsletter, hacemos una compra o dejamos una opinión en un comercio estamos haciendo crecer nuestra huella digital.

Estas actividades, conocidas por todos, se conocen como huellas digitales activas porque el usuario comparte voluntariamente la información personal de forma consciente. Si completamos un formulario de registro y damos nuestro consentimiento para que traten nuestros datos, estaremos contribuyendo a nuestra huella digital activa.

Pero, ¿qué pasa con nuestra huella digital pasiva? Esta se crea cuando se recoge información del usuario sin que éste se dé cuenta. El primer ejemplo lo encontramos cuando los sitios webs recopilan nuestra IP o nos instalan cookies en nuestro navegador para rastrear nuestra actividad y poder enviarnos, para poner un caso, publicidad segmentada.  O cuando damos un «like» o compartimos un contenido en una red social que les permitirá crear un perfil sobre ti.

La identidad digital

Toda esta huella digital que generamos se convierte en lo que se denomina «identidad digital» en la red. Esto incluye desde huellas deseadas como puede ser un perfil de Linkedin o aparecer en la página web de la empresa hasta aquellas referencias nuestras que pueden afectar a nuestra reputación y que quizás no somos ni conscientes de ello.

Y la identidad digital va ligada a la «reputación digital» (lo que también se conoce como «marca personal«, análoga a la reputación en el mundo analógico que tan bien conocemos y a menudo sufrimos. Si lo que Internet sabe de nosotros es negativo, lo primero que sufrirá será nuestra reputación. Y esto puede ser debido, habitualmente, a nuestra huella digital pasiva de la que siquiera nos somos conscientes. En la red puede haber una reseña negativa o una fotografía que nos coge en un mal paso y que nosotros no sabemos de su existencia.

¿Es importante la huella digital?

El tema reputacional, en sí mismo, ya es bastante importante. Imaginemos que queremos que nos admitan en una escuela, universidad o en determinada empresa. O, simplemente, queremos contraer matrimonio. O somos una persona famosa o queremos hacer carrera, digamos, política o similar. O hemos sido víctima de un acoso y han publicado un vídeo de contenido sexual (caso que se dio a principio de verano con un conocido actor). Los ejemplos son muy numerosos.

Pero la exposición en la red puede suponer otros peligros. Ataques de phishing aprovechando la información nuestra que circula en Internet, que se difunda contenido comprometido destinado a un círculo privado, acosos de todo tipo aprovechando lo que saben de nosotros (tema delicado especialmente por determinados colectivos: menores, víctimas de violencia sexual, etc.), chantajes en el ámbito empresarial son sólo algunos ejemplos.

Tengamos siempre presente que cuando publicas una información en Internet es como si la tatuase: cuesta mucho borrarla. Y una vez publicada perdemos el control sobre el uso que harán los demás de la información.

Proteger tu huella digital

Este tema será objeto de un próximo post pero, en síntesis, se trata de reducir nuestra exposición en la red. Reducir las fuentes de información que te mencionan, limitar la cantidad de información que compartes, ser cuidadoso con las redes sociales, revisar nuestra configuración de privacidad, evitar sitios web inseguros, no usar Wifis públicas, tener una política de contraseñas, revisar los dispositivos móviles o usar una VPN (Red Privada Virtual) pueden ser algunas recomendaciones a seguir.

 

Como siempre, ¡cuidad vuestra reputación digital y cuidaos vosotros mismos!

Menores y huella digital

por

El post de hoy está propiciado por el reciente nacimiento del nieto de unos buenos amigos. Ha sido un niño que ha nacido con todos los pronunciamientos favorables. Y, como es natural, lo primero que han hecho los padres ha sido hacer fotografías y difundirlas entre familia, amigos y conocidos vía Whastapp y otras redes sociales.

Y qué menos, diréis. Desde que existe la fotografía que los orgullosos padres han querido inmortalizar el nacimiento del hijo y enseñarla a cuanta más gente mejor. Y eso está muy bien, faltaría más, pero es que ahora tenemos una nueva variable que tenemos que considerar: la huella digital.

Antes las fotografías se enseñaban en un álbum de papel. Una vez vistas, el álbum se guardaba en un estante y hasta la próxima. Ahora, no. Las fotografías son digitales y se reproducen en la red a toda velocidad. Y quedan, sobre todo quedan para siempre. Y ese rastro del niño o de la niña, tan monos, quedan desde el nacimiento, incluso desde antes si los padres comparten las ecografías, y le acompañará toda la vida. E iremos añadiendo: los primeros pasos, el primer diente, el primer «papá» o «mamá» (esto en vídeo) y así hasta tener una recopilación de centenares de imágenes del bebé hasta que sea mayor de edad y pueda decidir. En ese momento su huella digital será muy extensa.

El problema

La primera obviedad es que cuando se sube una imagen a Internet, se pierde el control sobre ella.

A partir de ahí pueden pasar muchas cosas buenas, pero también de no tan buenas. En el primer caso, por ejemplo, que una empresa de publicidad nos ofrezca un contrato publicitario para explotar la imagen del niño. Pero del otro lado, nos podemos encontrar desde empresas que usen la imagen sin permiso hasta usar la foto para pornografía infantil en manos de pedófilos (grooming).

El Sharenting

Cómo no, Sharenting es un anglicismo que combina dos términos, share (compartir) y parenting (crianza).  Y describe la actividad de documentar exhaustivamente y compartir irreflexivamente en el mundo digital el crecimiento de los niños. Esto ocurre sobre todo en Facebook, Instagram y WhatsApp. Si la actividad es excesiva se denomina oversharenting.

¿Es legal publicar fotos de menores?

En España, la LOPD establece la mayoría de edad para que el menor pueda gestionar su privacidad en Internet en los 14 años. Esto quiere decir que si quiere publicar una foto lo puede hacer sin el consentimiento de los padres. Y los padres no pueden publicar una foto si el menor no lo autoriza. Si publican sin consentimiento se exponen a una sanción.

Por debajo de los 14 años, los progenitores o los tutores legales continúan teniendo todo el poder de decisión. Si el menor quiere crear un perfil en una red social, necesita autorización.

En el caso de parejas separadas, no puedes publicar fotos del menor sin consentimiento de la otra parte.

Recomendaciones

Más allá de la prudencia y el sentido común, podríamos apuntar algunos consejos.

  • Antes de subir una foto del menor, pensarlo dos veces. Todo lo que se publica, queda.
  • Y, una vez publicado, queda fuera de nuestro control.
  • Pensar a largo plazo. La foto que ahora es graciosa puede perjudicarle en el futuro
  • Cuidado con el contexto de la fotografía. Puede ofrecer mucha información como edad, estatus económico, ubicación (aparte del geoposicionamiento por los metadatos), la relación con otras personas, etc.
  • No publicar fotos del menor desnudo o en situaciones incómodas.
  • Leer las condiciones de servicio de las redes sociales.
  • Preguntar al menor, tan pronto como sea posible, si quiere que subamos la foto a Internet. No nos exime de responsabilidad pero facilita la reflexión e implica al menor en la decisión.
  • No publicar fotos de otros menores sin consentimiento de los padres (por ejemplo, fotos de cumpleaños o del colegio).
  • Supervisar los contenidos que el menor sube a la red.

Como recomendación genérica, seguir las indicaciones de la web is4k (Internet Segura for Kids), un portal de INCIBE. Está llena de buenos consejos explicados de forma amena y con contenidos para compartir con los menores.

¿Qué hacemos si queremos retirar las fotos (derecho al olvido)?

En general, no es una buena idea publicar fotos de niños en las redes sociales más allá de algunas hechas con cuidado y prudencia.

Pero si lo necesitamos, está a nuestro alcance el ejercicio del Derecho al olvido. La primera acción obvia, si nosotros no somos los autores, pedir al autor que la retire. Si no obtenemos resultado, el Reglamento General de Protección de Datos (RGPD) nos ampara en el ejercicio del Derecho de Supresión que, en el ámbito de Internet, se denomina Derecho al olvido. De eso ya hemos hablado y podéis encontrar más información aquí.

¡Como siempre, cuidemos a los menores y cuidémonos!

Los muertos vivientes de las tecnológicas

por

Hay que asumirlo: una hora u otra a todos nos llega el momento de dejar este mundo. Y este momento es muy delicado para los familiares del difunto. De manera que todo lo que se haga para facilitar los trámites será de muy agradecido por los allegados. Pero hay empresas que no tienen esa sensibilidad. Y, es evidente, hay que corregir esta carencia.

Todo viene a raíz de una nueva condena a Telefónica y un episodio, uno más, muy desafortunado de Vodafone.

Los hechos de Telefónica

En el primer caso, tal y como explica El País, Telefónica es condenada por incluir en un fichero de morosos a una persona, 18 años después de muerta. El juez ha condenado a la compañía a indemnizar a los herederos de la mujer a la que mantuvo en un registro de deudores, aunque le suplantaron la identidad.

La persona en cuestión murió en abril de 2003 y en febrero de 2021 su hija recibió una carta de Asnef (registro de morosos) informándole de que la difunta estaba incluida en un fichero de morosos por una deuda contraída con Telefónica. La empresa reclamaba una factura de 182,39 euros emitida cuando la mujer ya había fallecido. Alguien dio de alta un teléfono fijo con los datos de la difunta, pero la empresa no enmendó el error a pesar de recibir el certificado de defunción de la presunta morosa.

La sentencia impone a Telefónica el pago de una indemnización de 10.000€ a los familiares de los afectados, más intereses y costas.

Un verdadera pesadilla que, afortunadamente, ha tenido un final, no digo feliz porque la experiencia se las trae, pero al menos justo.

La semana pasada también nos hacíamos eco de una sanción impuesta a Naturgy por un tratamiento ilícito de datos personales como este, por no tener actualizados los datos tal y como exige el Reglamento.

Los hechos de Vodafone.

Según explica Enrique Dans, un conocido periodista y activista británico, George Monbiot, intentó cancelar el contrato de móvil de su madre, a raíz de su muerte. La compañía comenzó a poner todo tipo de dificultades y a acosar a su padre pidiendo datos con la fecha exacta en que había firmado el contrato, que naturalmente no podía recordar, con «extrema rudeza y agresividad«-

Ante la imposibilidad de cancelar la cuenta, decidieron dejar de asumir los cargos. Y, como no podía ser de otra manera, Vodafone los incluyó en un fichero de morosos en una empresa que siguió importunando al padre.

Este caso, se pudo solucionar rápidamente porque el periodista escribió un hilo muy detallado en su cuenta de Twitter que tiene alrededor de medio millón de seguidores. Miles de retweets y likes hicieron su magia, con muchos seguidores relatando experiencias similares. Vodafone pidió inmediatamente disculpas pero el periodista no se conforma porque entiende que la manera de proceder es parte de una política corporativa y quiere llegar al fondo del asunto. Como dice el profesor Dans, con episodios como este, «a Vodafone se le estarán apareciendo sus muertos durante bastante tiempo«.

La conclusión

En ambos casos, se crea un quebranto y una angustia debido al acoso y la impotencia, absolutamente desproporcionados con las deudas cuando, además, no son verdad.

Todo parece indicar que las actuaciones responden a una política corporativa orientada a dar todas las facilidades para contratar los servicios y, en cambio, a ejercer máxima presión sobre quien quiere rescindir el contrato. Y debería ser, al menos, tan fácil salir como entrar, para ser justos. El consumidor siempre es la parte débil del contrato y debe tener una protección especial.

 

Como siempre, ¡cuidaos!

¡El dato personal que siempre se olvida!

por

Cuando pensamos en datos personales, en seguida nos viene a la cabeza el nombre, el DNI, el rostro y tantos otros, en particular aquellos denominados de «categoría especial» como son los que se refieren a la salud, a nuestras preferencias políticas o religiosas, la afiliación sindical, la orientación sexual o los datos genéticos o biométricos, por ejemplo. Y hay datos personales que son menos evidentes como puede ser la dirección IP (Internet Protocol), el ID de cookie, el ID de los dispositivos o el IMEI de los teléfonos.

Y la que siempre se olvida, a menudo incluso en ámbitos profesionales, es la voz, dato del que hoy queremos hablar.

Y queremos hablar de la voz a raíz de una sanción que la AEPD ha impuesto recientemente a Radio Televisión Madrid, SA (TeleMadrid) por difundir un audio de una declaración judicial. El importe ha sido de 50.000€ y la razón que la cadena de televisión difundió la grabación, sin distorsionar, de la declaración judicial de la víctima de una violación múltiple en diferentes páginas web y también en Twitter.

Los hechos

Se presenta una reclamación porque varios medios de comunicación habían publicado en sus portales digitales el audio para ilustrar la noticia de la celebración de un juicio en un caso muy mediático. Los medios retiraron las publicaciones pero quedaron las realizadas en los perfiles de Twitter. En estas publicaciones se podía oír la voz de la víctima sin el distorsionado de la voz siendo, por tanto, perfectamente identificable.

La voz como dato personal

Según el artículo 4.1 del RGPD, la voz de una persona es un dato personal en tanto la hace identificable y su protección es, en consecuencia, objeto del Reglamento.

La voz es un atributo personal propio e individual de cada persona física que se define por su altura, intensidad y timbre.

Tiene rasgos distintivos únicos y singulares que la individualizan de manera directa, asociándola a un individuo concreto, es modulada al hablar, pudiendo conocer, a través de ella la edad, el sexo, el estado de salud del individuo, su manera de ser, su cultura, su origen, su estado hormonal, emocional y psíquico. Elementos de la expresión, el idiolecto o la entonación, también son datos de carácter personal considerados conjuntamente con la voz.

Equilibrio entre la protección de datos y libertad de información

Ambos derechos están siempre en un equilibrio precario. En este caso, sin embargo, la AEPD considera que el tratamiento ha sido excesivo, al no existir un interés público informativo prevalente en la difusión de la voz de la víctima sin distorsionar que no aportaba ningún valor añadido.

La Agencia también ha considerado la naturaleza especialmente sensible de los datos personales y la afectación a la intimidad de la víctima «que merece más protección el interés de la titular del derecho a la protección de sus datos personales».

Según la directora de la Institución, se trata de «hacer plenamente compatibles los derechos para que queden ambos absolutamente garantizados».

La sanción

La AEPD califica la infracción de muy grave porque conlleva una pérdida de disposición y control de los datos personales y, además, al difundirlos se condena nuevamente a la víctima a ser reconocida por terceros, con los graves daños y perjuicios que se ocasionan.

No se aprecia intencionalidad pero si el agravante de negligencia porque distorsionar la voz se hace con frecuencia en los medios audiovisuales, máxime en circunstancias tan sensibles.

Se considera que la infracción supone un grave perjuicio para la afectada ya que el suceso está vinculado a su vida sexual.

Derecho al olvido

Es oportuno recordar aquí el derecho al olvido que, amparados en el RGPD, tenemos todos los ciudadanos. Es el derecho a solicitar, bajo determinadas condiciones, que los enlaces a tus datos personales no figuren en los resultados de una búsqueda en Internet realizada por tu nombre.  Si tenéis alguna duda respecto a este derecho, podéis hacernos una consulta aquí, sin compromiso.

Para finalizar, no agravemos el sufrimiento de las víctimas reenviando contenidos lesivos para las personas. La responsabilidad es nuestra. ¡Como siempre, cuidémonos y cuidemos a los demás!

¡Tienes derecho al olvido!

por

El Tribunal Constitucional reconoce el derecho de un comerciante que pidió eliminar datos descalificatorios. Y lo ha hecho declarando inconstitucionales las sentencias que anularon la decisión de la Agencia Española de Protección de Datos (AEPD) de atender la petición.

Pero bien, empezamos por el principio. ¿Qué es el derecho al olvido?

De forma resumida, podemos decir que es el derecho a solicitar, bajo determinadas condiciones, que los enlaces a tus datos personales no figuren en los resultados de una búsqueda en Internet realizada con tu nombre.

Este derecho, de origen jurisprudencial, se encuentra recogido en el RGPD y en la LOPDGDD y no debe confundirse con el Derecho de Supresión (veremos las diferencias más adelante).

El asunto viene de lejos, sólo hay que recordar aquí la conocida como «Sentencia Google Spain”, pionera en la materia. 

Repasamos los principales rasgos de este derecho.

Características

El Derecho al olvido se puede ejercer ante los buscadores y de los editores de las páginas web porque son responsables del tratamiento de datos personales. Prevalece sobre el interés económico del buscador y del interés público para garantizar el derecho a la privacidad. El derecho aparece cuando el nombre de una persona está enlazado a publicaciones que contienen información personal. No hay plazo para ejercerlo, siempre que haya razones legítimas para hacerlo.

Requisitos para ejercerlo

La norma enumera diferentes supuestos que avalan el ejercicio cuando, por ejemplo, los resultados obtenidos después de una búsqueda realizada a partir del nombre de la persona, los enlaces publicados con información de la persona fueran inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieran ocurrido como tales por el transcurso del tiempo.

También se podrá solicitar si se evidenciara la prevalencia de los derechos del afectado sobre el mantenimiento de los enlaces para el servicio de búsqueda en Internet.

El derecho subsistirá, aunque sea lícita la conservación de la información publicada en el sitio web y no se procediera a su borrado previo o simultáneo.

Es importante destacar que el ejercicio del derecho no impedirá el acceso a la información publicada en el sitio web si se accede a él utilizando otros criterios diferentes al nombre de quien ejerce el derecho.

Limitaciones

El Pleno del TC ha precisado los límites del derecho al olvido, entre los que ha destacado el factor de la importancia pública de la noticia y el de su antigüedad; así como la responsabilidad de las entidades que operan motores de búsqueda de Internet de respetar el derecho a la supresión de estos enlaces cuando infrinjan la normativa de la Unión Europea y española en la materia.

Apuntar, por nuestra parte, otros límites que recoge el RGPD como son la libertad de expresión e información, el cumplimiento de una obligación legal, por razones de interés público en el ámbito de la salud pública, cuando haya fines de archivo de interés público, investigación científica o histórica y por la defensa de reclamaciones.

Procedimiento para el ejercicio del derecho al olvido

La normativa establece que para ejercer el derecho de supresión (y, por tanto, el derecho al olvido) es imprescindible que el afectado se dirija personalmente a la entidad que trata sus datos (buscador o web).

Si la entidad no responde a la petición realizada o la respuesta recibida no se considera adecuada, el afectado puede interponer una reclamación ante la AEPD que determinará si la estima o no.  La decisión de la Agencia es recurrible ante los Tribunales.

Diferencias entre el derecho al olvido y el derecho de supresión

Aunque a menudo se confunden el Derecho al Olvido y el Derecho de Supresión, no son exactamente lo mismo. Podemos ver el derecho al olvido como la manifestación del derecho de supresión aplicado a los buscadores de Internet. Hace referencia a la posibilidad de impedir la difusión de información personal a través de Internet cuando su publicación bueno cumple los requisitos de adecuación y pertenencia previstos en la normativa…

El primero, citado en el RGPD, está desarrollado en el artículo 93 LOPDGDD en cuanto a las búsquedas en Internet y en el artículo 94 de la misma Ley en cuanto a los servicios de redes sociales y similares.

El Derecho de Supresión se recoge el RGPD, en el artículo 17 que confiere al interesado el derecho a obtener, sin dilación indebida, del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir los datos personales cuando concurra alguna de las circunstancias que se detallan.

Resumiendo

El Derecho al olvido es la aplicación del Derecho de supresión en el entorno de los buscadores de Internet. Recientemente, el Tribunal Constitucional ha dictado una sentencia que reafirma este derecho en Internet.

El Derecho al olvido permite al afectado solicitar, en ciertas condiciones, que los enlaces a sus datos personales no figuren en los resultados de una búsqueda en Internet realizada en su nombre.

El Derecho puede ejercerlo el propio afectado ante los responsables de los buscadores o, si no obtiene respuesta adecuada, ante la AEPD.

En Tecnolawyer, como consultora especialista en Derecho Digital y Protección de Datos, podemos determinar la información personal vuestra que circula por Internet y ejercer en vuestro nombre el derecho al olvido. De forma segura y confidencial. Podéis hacernos una consulta aquí.

Como siempre, cuidémonos, ¡también en Internet!

Post relacionado: Google no olvida. La AEPD tampoco …

17.200 millones de registros perdidos entre 2004 y 2021

por

Así se recoge en un reciente artículo de Visual Capitalist titulado «Visualizing The 50 Biggest Data Breaches From 2004–2021«. La verdad es que el dato objetivamente resulta impresionante. Claro que si la ponemos en el contexto del total de datos que se gestionan en el mundo, probablemente se podrá relativizar. En cualquier caso, el titular es lo suficientemente llamativo para hacer algunas reflexiones en torno a la privacidad y su corolario, la ciberseguridad.

¿Qué es una brecha de seguridad?

Empecemos por el principio. Una brecha de seguridad es un incidente por el que información sensible o confidencial es copiada, transmitida o robada por una entidad no autorizada. Esto puede ocurrir como resultado de ataques de malware, fraude en pagos, filtraciones internas o divulgación no intencionada.

Entendiendo los fundamentos de las Brechas de Seguridad

La brecha de seguridad consiste en todo acto de intromisión, ilícito o no autorizado que:

  1. Puede ocasionar la destrucción, pérdida o alteración accidental de los datos personales.
  2. Puede permitir la comunicación, revelación o acceso no autorizados a ficheros o tratamientos de datos personales.

Medidas de seguridad

El RGPD exige a los responsables de tratamiento de datos que apliquen las medidas jurídicas, técnicas y organizativas necesarias para garantizar la seguridad de las mismas.

Pero la seguridad debe ampliarse más allá de la protección de datos y debe rodear todos los activos de la empresa, empezando por los activos intangibles que son muchos y muy valiosos: planes de marketing, patentes, relaciones con clientes, proveedores, partners e instituciones, datos (por ejemplo, listas de clientes potenciales), desarrollo de software, marcas y un largo etcétera. Este patrimonio se puede proteger ampliando las medidas de seguridad que aplicamos a los datos.

Privacidad,  ciberseguridad y el factor humano.

La ciberseguridad es un medio para proteger a las organizaciones y a las personas. Las medidas son, como decíamos, jurídicas, organizativas y técnicas. Y el factor clave es, como siempre, el humano. Porque está en su mano implementar las medidas y, al mismo tiempo, es el activo final a proteger. Las medidas de ciberseguridad son del todo imprescindibles pero, del mismo modo, las personas debemos ser conscientes de la necesidad de protegernos ante prácticas como la ingeniería social, el phishing, la explotación de las redes sociales y tantas otras prácticas que solo buscan hacerse con nuestros datos para obtener un beneficio ilícito. Según el 2022 Data Breach Investigations Report de Verizon, en el 82% de las brechas estuvo implicado el factor humano, incluidos ataques sociales, errores y mal uso.

Medidas técnicas básicas

  1. Uso de contraseñas seguras y doble factor de autenticación
  2. Copias de seguridad
  3. Sistemas actualizados
  4. Exposición de servicios en Internet
  5. Cifrado de dispositivos

¿Qué tenemos que hacer si sufrimos una brecha de seguridad en la empresa? Protocolo AEPD

Partiendo del supuesto de que nuestra empresa está adecuada al RGPD, el artículo 33 nos impone la obligación de notificar el incidente a la autoridad de control cuando sea probable que éste constituya un riesgo para los derechos y libertades de las personas, en un plazo inferior a las 72h. desde que tengamos constancia.

La AEPD tiene publicada una Guía para la notificación de brechas de datos personales.

¡Vigilemos nuestros datos y, como siempre, cuidémonos!

 

 

 

 

¡Si no pagas los servicios con dinero, lo haces con tus datos!

por

Esto no es nuevo. Desde hace tiempo sabemos que todo aquello que nos dan «gratuitamente» lo estamos pagando con nuestros datos personales. Nos bajamos una app para hacer, pongamos por caso, de brújula y nos piden consentimiento para acceder a nuestros datos, a los contactos, a nuestra ubicación, a las fotografías y los vídeos y a un largo etc. de datos. 

Teniendo en cuenta que en nuestro teléfono tenemos de media unas doscientas aplicaciones instaladas, ya nos podemos ir haciendo una idea de la dispersión de datos que hay.

Pero tampoco es necesario que sea una app, ni siquiera que la transacción se haga en Internet. Las tarjetas de pago como VISA o las de fidelización de cualquier comercio, acumulan a lo largo del tiempo una gran cantidad de datos que permiten hacer perfiles muy detallados de los individuos.

Qué comemos, cuántos somos en casa, de qué edades, estatus económico, dificultades para llegar a fin de mes, cuáles son nuestras preferencias en alimentación, viajes, música y tantas otras cosas. Y todo a cambio de miserables puntos o algún descuento de tanto en tanto.

Hasta aquí todo lo que sabíamos pero ahora, CaixaBank, nos ha abierto aún más los ojos. Y de manera francamente desagradable, por decirlo suavemente. Porque la Agencia Española de Protección de Datos le ha sancionado con 2.100.000€ por condicionar la prestación del consentimiento a sus clientes. Una multa de 2.000.000€ por condicionar la obtención del consentimiento a la exención de comisiones bancarias. Y, una segunda, porque en el formulario de consentimiento las casillas estaban premarcadas.  Práctica muy habitual (también ocurre con las cookies) que, en este caso, ha sido sancionada con 100.000€.

Sí, he leído bien. Según la AEPD, el banco condicionaba la exención de comisiones al otorgamiento del consentimiento por parte del cliente para recibir comunicaciones comerciales y para ceder sus datos a las entidades del Grupo Bankia. El Reglamento Europeo, dice claramente que «el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado que impida que éste ejerza su libre voluntad». La Agencia valora como agravante el gran número de clientes, cerca de un millón, que habían prestado el consentimiento para recibir publicidad y ceder los datos a Bankia.

La segunda multa se debe la inobservancia del requisito de obtener el consentimiento de una manera libre, específica, informada e inequívoca, incumpliendo el RGPD por cuanto «el silencio, las casillas premarcadas o la inacción no deben constituir consentimiento».  Esta invalidez conlleva una falta de legitimación que infringe el artículo 6.1 RGPD.

Estas noticias crean desazón en la sociedad, más si vienen de una institución que muchos consideramos señera. De una empresa de referencia como esta y por la naturaleza de su negocio, se espera que, además cumplir la normativa vigente, apliquen los más altos estándares éticos en el trato a sus clientes. La sanción económica no tendrá más trascendencia pero la reputación del Banco se verá afectada. 

Como dice el chef José Andrés, “lo importante es que nos cuidemos los unos a los otros”. Podemos empezar porque las empresas nos cuiden. ¡Y, no descuidemos, vigilar nosotros mismos!

Google no olvida. La AEPD tampoco …

por

La Agencia Española de Protección de Datos (AEPD) acaba de sancionar a Google con una multa récord de 10 millones de euros por cometer dos infracciones muy graves: una, por ceder datos a terceros y la otra por obstaculizar con un formulario confuso que la tecnológica ponía a disposición de los usuarios, precisamente, para ejercer el derecho al olvido.

Dos infracciones muy graves contra la normativa de protección de datos que suponen una multa récord de 10 millones de euros por ceder datos a terceros sin legitimación para hacerlo y obstaculizar el derecho de supresión de los ciudadanos, vulnerando los artículos 6 y 17 del Reglamento General de Protección de Datos (RGPD).

En cuanto a la primera, la cesión inconsentida de datos, la Agencia ha constatado que Google envía al Proyecto Lumen información de solicitudes que le hacen los usuarios, incluyendo la identificación, dirección de correo electrónico, motivos alegados y la URL reclamada. La finalidad del proyecto es la recogida y puesta a disposición de solicitudes de retirada de contenido en una base de datos accesible al público, lo que, en la práctica, supone frustrar la finalidad del derecho de supresión.

Recordemos que el derecho al olvido permite solicitar, en determinadas condiciones, que los enlaces a tus datos personales no figuren en los resultados de una búsqueda en Internet realizada en tu nombre. El ejercicio de este derecho no elimina el contenido en sí pero, al no estar disponible en los motores de búsqueda de los indexadores (Google, Bing, Yahoo, etc.), lo hace más difícil.

Lumen Database dispone de un buscador de reclamaciones que se alojan en su base de datos que se puede consultar por diversos parámetros (palabras clave, remitentes, temas, …)

De manera que, si puedes encontrarlo en la base de datos de Lumen ya no existe el derecho al olvido.

En cuanto a la segunda, el ejercicio del derecho mediante el formulario que ofrece Google, la AEPD ha entendido que es complejo, confunde al usuario y hacía muy difícil que se pudiera ejercer el derecho al olvido correctamente. El sistema conducía al interesado a través de varias páginas para cumplimentar la solicitud, sin mencionar la normativa de protección de datos de referencia, obligándolo a marcar opciones que se le ofrecían sin explicaciones.

Como resultado de este procedimiento, queda a criterio de Google la decisión de cuándo se aplica y cuándo no el RGPD, de forma que «aceptar el derecho de supresión de datos personales queda condicionado por el sistema de eliminación de contenidos por parte de la entidad responsable».

Según Google, ya han comenzado a «reevaluar y rediseñar las prácticas de intercambio de datos con Lumen a la luz de las consideraciones de la AEPD«. De las consideraciones y, apuntamos, de la sanción.

Seamos cuidadosos con nuestra información porque cuando ésta se publica en Internet ya no queda en nuestras manos. ¡Como siempre, cuidaos!

‘Fake news’ y empresa, ¿qué hemos de saber?

por

Tiempo atrás hablamos de las deepfakes y ahora queremos echar un vistazo a cómo las ‘fake news’ pueden afectar a las empresas.

Estamos, y cada día más, entrando de lleno en la era de la infoxicación (overload Information). Este neologismo hace referencia al concepto de sobrecarga informativa que tiene lugar cuando la cantidad o intensidad de información exceden la limitada capacidad de procesamiento del individuo, lo que puede provocar efectos disfuncionales. El término lo debemos a Alfons Cornella, fundador del Institut Next.

Medios compitiendo por la audiencia y por llenar parrillas y millones de usuarios que, de repente, nos hemos vuelto periodistas, comentaristas, influencers y no sé cuántas cosas más. Y, como es natural, las redes sociales han elevado la infoxicación a la enésima potencia.

Añadamos los acontecimientos extraordinarios que desde hace unos años estamos viviendo: pandemia, naturaleza desatada, guerra, crisis climática y una larga retahíla que añade presión a la caldera informativa.

Todos estos cúmulos de circunstancias hacen que cada vez seamos menos cuidadosos con la verificación de la información que recibimos, no tenemos tiempo, ni ganas, de contrastarla ni mucho menos de refutarla. Y ya tenemos un excelente caldo de cultivo por las fake news.

Pero todo esto, que en la esfera privada puede tener consecuencias que van desde leves (se anuncia de forma falsamente intencionada que un jugador fichará por otro equipo la próxima temporada) a muy graves (como puede ser el acoso sexual) , en el caso de las empresas los efectos pueden ser devastadores si no se toman medidas.

En efecto, en la empresa hay dos vertientes, como mínimo, que deben cubrirse. Por un lado, la difusión por parte de nuestra empresa de informaciones falsas: alertar de una supuesta escasez de un producto para subir su precio, difundir noticias negativas sin fundamento sobre un competidor o hacer publicidad denigratoria. En estos casos podríamos estar infringiendo una serie de normativas que van desde la Ley General de comunicación audiovisual (art.61) a la Ley de Competencia desleal (art 27.3), entre otros.

Y, por el contrario sensu, nuestra empresa puede ser la afectada. Sea por alguna noticia falsa de las mencionadas, que todas tendrán recorrido en los tribunales con las conocidas dificultades probatorias, o, y eso es más sutil, que una información no contrastada nos lleve a tomar una decisión desacertada con el consecuente perjuicio económico o, peor, reputacional.

En este punto, es necesario realizar unas recomendaciones para intentar minimizar los posibles peligros. Partir del convencimiento de que no todo lo que se publica, con independencia del medio, es fiable y aplicar grandes dosis de escepticismo y sentido común suele ser un buen comienzo. Recurrir a la fuente original (y sospechar si no se cita), buscar la información en otras fuentes, distinguir entre información y opinión y no creer por defecto aquella información que se adapta a nuestro sesgo pueden ser buenas guías para no caer en la trampa .

Desde noticias falsas para intentar manipular elecciones hasta noticias alarmantes a propósito del COVID estamos sometidos a una lluvia de informaciones que necesariamente debemos contrastar si queremos evitar situaciones adversas, tanto a nivel personal como profesional.

Quizás nos convendría un ‘detox’ informativo. Mientras tanto y como siempre, ¡cuidados!

Revisión Textos Legales Web