Sin categorizar

¿Qué sabes de Google Analytics?

por

Pues si sabes poco o nada y tienes una web que utiliza cookies para recoger datos de Google Analytics, ya puedes ir aprendiendo rápido. El Supervisor Europeo de Protección de Datos acaba de sancionar al Parlamento Europeo por infringir el Reglamento de Protección de Datos al utilizar, precisamente, Google Analytics.

No deja de tener gracia que la primera sanción de este tipo se haya impuesto en el Parlamento Europeo. Está claro que, a partir de ahí, todos –empresas, administraciones, instituciones, etc.– tendrán que cumplir la normativa porque, como decía el clásico de Rojas Zorrilla, “del rey abajo, ninguno”.

Durante la pandemia, el Parlamento contrató a una empresa para la realización de pruebas de detección de Covid a los europarlamentarios y al resto de trabajadores de la Cámara. Los usuarios debían registrarse en la web del proveedor que utilizaba cookies de Google Analytics y de la pasarela de pago Stripe. Los datos personales recogidos eran transferidos a Estados Unidos sin suficientes garantías de protección. El Parlamento ha estado apercibido y obligado a actualizar los avisos relativos al tratamiento de los datos personales.

¿Y esto en qué nos afecta? Pues que cualquier web, y son la mayoría, utilizan cookies de Google Analytics y los datos recogidos son transferidos a Estados Unidos, cometen una infracción en materia de protección de datos. No es el único caso. MailChimp es otra empresa muy conocida, que se utiliza por miles de empresas para hacer mailings, que tampoco cumple con la normativa. Y sus clientes, por tanto, tampoco.

Y esto, ¿por qué ocurre?

Pues eso ocurre porque en el verano de 2020, a raíz de la histórica sentencia conocida como Schrems II, una resolución del Tribunal de Justicia de la Unión Europea invalidó el escudo de protección de la privacidad (Privacy Shield) entre la Unión Europea y los Estados Unidos por no cumplir con los niveles de protección comunitarios. Lo que significa que si queremos continuar transfiriendo datos deberemos hacerlo aumentando las garantías por el usuario (por ejemplo, con Cláusulas Contractuales Tipo CTT, Normas Corporativas Vinculantes NCV y otros).

Si no se establecen las garantías y medidas técnicas adecuadas, a las empresas españolas –europeas– no les que otro que alojar los datos en servidores localizados fuera de Estados Unidos. Y puestos a cambiar, la recomendación es hacerlo en territorio comunitario. Y lo que decimos es válido, no sólo para el cloud sino también para aquellas aplicaciones que utilizamos a diario y que, muchas veces inadvertidamente para casi todos, transfieren los datos a un país no adecuado.

Lo dicho. Tenga cuidado. Y cuando contratamos un servicio (web, cloud, marketing, etc.) hacemos la pregunta de rigor: ¿se realizan transferencias internacionales de datos personales? Y no nos conformamos con una respuesta verbal. Pidámoslo por escrito al proveedor.

Como siempre, cuide los datos y ¡Cuídese!

La agresión sexual ya está pasando en el Metaverso

por

Meta afirma que los usuarios no lo usaban correctamente. La plataforma de realidad virtual  Horizon Worlds, apenas acaba de presentarse al público, y los usuarios ya están siendo asediados sexualmente e incluso agredidos, según podemos leer en The Verge.

Empecemos por el principio. ¿Qué es Meta? El pasado mes de octubre, por los que lo desconocen, el inefable Mark Zuckerberg presentó Meta, la nueva marca de Facebook, la finalidad de la cual será dar vida al metaverso y ayudar la gente a conectarse, encontrar comunidades y hacer crecer negocios. En la presentación, Zuckerberg explicó que, a partir de ahora, su compañía se centraría en hacer realidad esta idea, la del metaveros, y, por lo tanto, tenía sentido cambiar el nombre para reflejar mejor sus objetivos: Facebook ahora se llama Meta.

La realidad es que, según parece, el cambio de nombre representa un intento por deshacerse de lo que los propios empleados consideran una marca tóxica y que afecta, cada día más, a la percepción de sus productos. La marca que hasta hace unos años era reconocida y valorada, ha perdido su reputación, justo es decir, que por los errores cometidos por su fundador. Los escándalos de privacidad se asocian cada vez más con la marca FB. Recordamos solo el de Cambridge Analytica que, a pesar de ser de los más famosos, no ha sido el único ni mucho menos.

¿Y qué es entonces el metaverso? Podríamos entenderlo como un ciberespacio evolucionado. En un sentido amplio, involucra una serie de tecnologías, la primera de las cuales es la realidad virtual, caracterizada por mundos virtuales persistentes que continúan existiendo, con vida propia, aunque tú no estés. El acceso al metaversp se hace a través de gafas de realidad virtual como, por ejemplo, Oculus. El metaverso abre nuevos horizontes y un montón de posibilidades. Cómo podía ser Internet a finales de los 70 del siglo pasado. Nadie sabía exactamente cómo sería pero todo el mundo (los que estaban al corriente de la tecnología) tenían la percepción que sería una cosa grande. Bien, al final esta siendo una cosa inmensa que no se ve donde acabará.

Y todo esto es para explicar que la nueva plataforma de Zuckerberg ya ha sufrido el primer tropiezo. En efecto, ya han llegado las primeras denuncias por acoso e incluso por agresión sexual en el metaverso. Según un testigo, “No solo me palparon ayer noche, sino que había otras personas que apoyaron a este comportamiento que me hizo sentir aislada en la Plaza.”

La condición humana no cambia ni tanto solos en el metaverso. Comportamiento delictivo en unos y mirar hacia otro lado, los otros. Está claro que nos tenemos que adaptar a lo que está por venir porque es inevitable. De manera similar a que no podemos ir contra la ley de la gravedad, tampoco podemos ir contra el metaverso. Eso sí, ya de buen comienzo tenemos que asentar las bases de convivencia. Si no, se nos irá de las manos.

Como siempre, cuidaos (en el metaverso, también)!

Cuatro recursos para evitar la publicidad no deseada y como ejercer nuestros derechos

por

Vivimos en la era del dato. Tenemos acceso a todo tipo de información, y, sin embargo, muchas veces estamos desinformados. La veracidad de lo que leemos en internet muchas veces es cuestionable. También vivimos un bombardeo constante de comunicaciones no deseadas que pretenden “informarnos” sobre algún producto o servicio. Estas comunicaciones suelen hacerse a través de correos electrónicos, mensajes de texto y llamadas al teléfono móvil.

En el post de hoy os explicaremos cuatro recursos para evitar la publicidad no deseada:

  • Evita dar tu consentimiento. Éste se puede dar de muchas maneras. La mayoría de las veces nos presentan una oferta o descuento a modo de anzuelo y para poder disfrutarlo tenemos que marcar una casilla donde nos solicitan el consentimiento para enviarnos publicidad. Ya está, ya hemos picado.
  • Inscríbete en una lista de exclusión publicitaria. En España solo existe una oficial, que es la Lista Robinson. Es un servicio gratuito para los ciudadanos, en el que solo tienes que inscribirte e indicar por qué medios no quieres recibir publicidad: teléfono, correo postal, correo electrónico o SMS. Al inscribirte, sólo podrán enviarte publicidad las empresas a las que hayas dado tu consentimiento. A pesar de inscribirnos en la lista, podemos seguir recibiendo comunicaciones publicitarias de empresas a las que hayamos dado nuestro consentimiento anteriormente. Recordad que podemos revocar el consentimiento ejerciendo nuestros derechos.
  • ¿Es necesario crear un perfil de usuario? Todos nos descargamos apps cada mes. Muchas veces nos las descargamos, nos creamos un perfil cediendo parte de nuestros datos, y después nos olvidamos de dicha app o incluso la borramos. Aun así, nuestro usuario sigue activo con nuestros datos personales y con las comunicaciones comerciales activas.
  • Ejerce tu derecho de oposición y de supresión. El Reglamento dice que “Si no deseas que una determinada empresa trate tus datos con fines publicitarios, puedes ejercer tu derecho de oposición ante el responsable para que te excluya de las campañas publicitarias que realice”. Del mismo modo, puedes ejercer tu derecho de supresión. Si eres cliente de la entidad que te envía publicidad, es preferible que ejerzas el derecho de oposición, ya que la finalidad última del derecho de supresión es la eliminación de los datos en la entidad.

Para ejercer vuestros derechos podéis consultarnos en nosotros o bien podéis utilizar los modelos en castellano facilitados por la Agencia Española de Protección de Datos (AEPD) o bien en catalán, facilitados por la Autoritat Catalana de Protecció de Dades (APDCAT).

Como siempre, ¡cuidaos!

Candidatos, curriculums y empresas

por

Pasado el verano empieza un nuevo curso académico, político, judicial, deportivo y, en general, en todas aquellas áreas sociales que aprovechan las vacaciones para descansar. Y, en el entorno laboral, a las empresas y personas candidatas se los gira bastante trabajo. Unas, porque quieren contratar talento y las otras porque quieren fichar por la mejor empresa posible. En cualquier caso, es una época de prisas y nervios pero también de ilusión, que, a menudo, nos hace cometer errores. A unos y a otros.

Todo esto viene por un par de noticias que afectan a las empresas y a los candidatos.

La primera, muy reciente, hace referencia a la sanción impuesta por la AEPD a una empresa por no responder a los candidatos que se inscriben a una oferta de trabajo ni informarlo del tratamiento que tendrán sus datos personales. Lo hablamos días atrás.

El otro, de hace más tiempo, recogía el caso de una candidata que mintió en su currículum para conseguir un trabajo en Australia. Tuvo que pagar una indemnización y, después, entró en prisión. Otro día nos ocuparemos de este tema.

Las dos noticias juntas ponen de manifiesto que empresas y candidatos tienen que observar unas reglas del juego básicas para no infringir la normativa y entender que no hacerlo puede tener consecuencias graves. Por eso hoy recogemos, a modo de recordatorio, algunas otras conductas a observar en el proceso de selección y contratación de personas en las empresas.

Consentimiento. En la fase de selección no es necesario el consentimiento de la persona candidata. La empresa está legitimada porque el tratamiento es necesario por la ejecución de un contrato en el que el candidato es parte o por la aplicación, a petición de este, de medidas precontractuales (arte. 6.1.b) RGPD).

Información. La empresa, en cambio, tiene el deber de informar del tratamiento, el que constituye una garantía para la persona candidata. Y lo tiene que hacer de una manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Vida laboral. La empresa, acreditando un interés legítimo, puede solicitar un informe de vida laboral para comprobar la veracidad y experiencia del currículum.

Oferta de trabajo. Las ofertas de trabajo se tienen que redactar en términos neutros (no pedir sexo, edad, raza, creencias políticas o religiosas, etc.) y recordar que las funciones especificadas son vinculantes. Y si se incluye la alternativa de teletrabajo, el candidato lo puede reclamar posteriormente sino se le proporciona.

Entrevista de trabajo. En la entrevista de trabajo, las respuestas no equivalen a un consentimiento y si hacemos preguntas sobre datos de categoría especial (salud, orientación sexual, opiniones políticas, afiliación sindical, datos genéticos, etc.) se tendrán que tomar medidas adicionales. Evitamos anotar juicios de valor y vigilamos si los datos recogidos pueden dar lugar a discriminaciones contrarías al principio constitucional de igualdad. Supondría una infracción administrativa grave.

Redes sociales. Los candidatos no están obligados a permitir la investigación del empleador en los perfiles de las redes sociales, exceptuando supuestos específicos y siempre que el candidato sea informado.

Conservación y eliminación. Acabado el proceso de selección, si la persona no es contratada será necesario su consentimiento para un futuro tratamiento, salvo que el empleador pueda demostrar interés legítimo (base de legitimación). Si no, eliminará el currículum con toda la documentación asociada.

Medidas de seguridad. La empresa tiene que garantizar la confidencialidad y el secreto profesional, incluso, cuando haya acabado la relación. Por eso tiene que tener implementadas las medidas de seguridad que garantizan, además, la disponibilidad y la integridad de los datos.

Naturalmente, hemos recogido aquí algunas de las situaciones más comunes que se pueden dar en el tratamiento de datos durante el proceso de selección de candidatos. Como siempre, es importando un buen asesoramiento profesional que impida cometer errores que nos pueden dar sorpresas desagradables.

Cuidaos!

Nota: el contenido del post no puede sustituir en ningún caso el asesoramiento profesional que podéis pedir aquí.

Claves sobre la Protección de Datos en el trabajo

por

La Agencia Española de Protección de Datos ha publicado una guía sobre protección de datos y relaciones laborales. El documento encara cuestiones como la consulta del empleador en las redes sociales, los sistemas  internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de datos de las víctimas de acoso al trabajo, los de las mujeres supervivientes a la violencia de género o el uso de tecnología wearable como elemento de control.

La protección de datos en el ámbito laboral siempre ha sido rodeada de polémica. Hasta hace poco, pero, se mantenía en la colisión de los derechos fundamentales del trabajador respecto a su intimidad con el uso – y muchas veces abuso- de la tecnología por parte de la dirección empresarial. El acceso indebido a las comunicaciones electrónicas del trabajador (caso Barbulescu) o la utilización indiscriminada de las cámaras de vigilancia son dos de los ejemplos más conocidos.

La Agencia aborda ahora temas de mucha actualidad. Por ejemplo, el uso de las redes sociales por parte de los departamentos de selección de personal que no  tienen permiso para indagar en los perfiles de los candidatos, ni durante el proceso de selección ni durante la ejecución del contrato, aunque el perfil sea de acceso público. La empresa, incluso, no está legitimada para solicitar “amistad” a los candidatos para que proporcionen acceso a contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias, se admiten denuncias anónimas y, cuando no lo sea, la confidencialidad de la información y del denunciado tienen que preservarse. Solo se podrán acceder a estos datos en caso de procedimientos disciplinarios y notificaciones a las autoridades de hecho constitutivos de ilícito penalti o administrativo.

Respeto al registro de jornada laboral, la AEPD recomienda que este sea lo menos invasivo posible, sin que sea de acceso público ni visible por todos. Y esta información no se puede usar para finalidades diferentes como, por ejemplo, geolocalizar al trabajador.

La Agencia se ocupa también de las víctimas de acoso al trabajo y de la violencia de género, otorgando a todos los efectos la consideración de categoría especial de los datos personales, considerándolos datos sensibles que requieren una protección reforzada.

La Agencia recuerda que la única base jurídica que legitima el tratamiento de los datos es la ejecución de un contrato de trabajo (además del imperativo legal o por un convenio colectivo).  Y hay que facilitar la información correspondiente, explicar los derechos que asisten a los trabajadores en esta materia y como ejercerlos.

Son todos temas relevantes en el ámbito laboral que, empresarios y trabajadores tienen que tener muy presente en el día a día.

Cuidaos!

He leído y acepto …

por

Así acaban (los que cumplen) los formularios web, justo antes de pulsar el botón de Enviar. La frase completa es “He leído y acepto la Política de Privacidad” e incluye un casilla para marcar (si no se marca, no se puede enviar el formulario) y un enlace para que el usuario pueda navegar cómodamente a ver las condiciones en que presta su consentimiento. Y prestarlo, o no, en función de estas condiciones.

El consentimiento es una de las bases de licitud de tratamiento más importante y más ampliamente utilizada de las que reconoce el arte. 6.1 RGPD. Hay otros como la ejecución de un contrato (por ejemplo, de servicios), por obligación legal (si lo pide un juez) o el interés legítimo, verdadero cajón de sastre para meter permisos de tratamiento de lo más variado.

Los usuarios somos cada día más conscientes de la importancia de ejercer el control sobre nuestros datos personales. Pero, ¿sabemos realmente lo que aceptamos cuando prestamos el consentimiento? ¿De verdad leemos la Política de Privacidad, las Condiciones de Uso o de Contratación? O, puestos a pedir, ¿leemos la Política de Cookies?

Y lo que es más importante, además de leer, ¿entendemos lo que dice? ¿Somos capaces de anticipar las consecuencias de nuestra decisión? ¿Estamos manifestando una voluntad en base a una decisión racional e informada que manifestamos de forma libre y espontánea? Porque así lo exige el Reglamento.

La cuestión no es sencilla de resolver. A pesar de que con el RGPD las condiciones del consentimiento se han endurecido, la realidad es que al final del día tenemos que prestar el consentimiento varias veces, desde comprar por internet hasta ver las noticias de un diario, pasando por infinidad de situaciones cotidianas (por ejemplo, actualizaciones de apps que renuevan las condiciones) que nos agotan y nos hacen optar por marcar la casilla del consentimiento sin cumplir las condiciones.

Esto sin contar que en la red encontramos, todavía, muchos formularios que no tienen Política de Privacidad o que, si la tienen, no es clara, es larga y farragosa con la letra muy pequeña y, en muchas ocasiones, las finalidades del tratamiento no se corresponden con la realidad o se incluyen cláusulas inaceptables por el usuario.

Todos tenemos claro que nuestros datos son muy valiosos para empresas que los monetizan compartiéndolos o vendiéndolos a intermediarios que crean perfiles y usando técnicas de Big Fecha, Inteligencia artificial y otras tecnologías punteras saben, cada día más y mejor, cuáles son nuestros hábitos, intereses y preferencias.

Vigilemos a quien damos nuestro consentimiento y hagamos lo posible para leer y entender las políticas de privacidad. Es importante.

Otro día explicaremos cómo leer y entender un texto legal de protección de datos.

Mientras tanto, cuidaos!

¿»Sigues navegando» con las cookies?

por

El pasado 31/10/2020 se acabó el plazo que la Agencia Española de Protección de Datos (AEPD) había dado para adaptarse a las nuevas Directrices del Comité Europeo de Protección de Datos que afectaban a la regulación que, hasta el momento, existía sobre las cookies.

Concretamente, las directrices giran en turno a dos cuestiones principales:

  • La validez de la opción “Seguir navegando” como forma de prestar el consentimiento por parte de los usuarios.
  • Sobre la posibilidad de limitar el acceso a determinados servicios o contenidos solo a los usuarios que acepten el uso de cookies. El que se conoce a la industria como “muro de cookies”.

De esta cuestión ya nos hemos ocupado anteriormente (Cookies again … y Cookies: ¡se acabó el tiempo!). La AEPD publicó en julio la “Guía sobre el uso de las cookies” que ofrece orientaciones más que obligaciones. Las obligaciones, que sí impone la normativa, son el principio de transparencia en la información y la libre prestación del consentimiento con una clara afirmación positiva. Por tanto, la opción de “seguir navegando” y los “muros de cookies” ya no son válidas desde el pasado 31 de octubre.

De todas formas, la cuestión no es pacífica. El pasado 1 de octubre, la autoridad francesa de protección de datos (CNIL) publicó unas directrices que posibilita instalar cookies sin pedir el consentimiento siempre que se cumplan determinados requisitos.

Por otro lado, el interés legítimo que se está usando en España por muchos avisos de cookies es una práctica que, ya el pasado septiembre, el Comité Europeo de Protección de Datos dijo que no podía usarse como cimiento jurídico apropiado para la instalación de cookies.

Mientras tanto, nuestra recomendación es la de adaptarse para cumplir con las obligaciones ciertas que tenemos en este momento: seguir navegando y los muros de cookies no son una opción. Y tenemos que actuar bajo el principio de transparencia de la información (explicar al usuario qué cookies queremos instalar y porque las queremos usar) y el de libre prestación del consentimiento (usar únicamente cookies técnicas y permitir al usuario hacer una clara afirmación positiva respecto al resto).

Así, además de cumplir, transmitiremos confianza a nuestros usuarios. Que es, junto a evitar sanciones, lo que más nos interesa.

Nota: Todo esto que hemos dicho es válido también para las apps que se usan en tablets y móviles.

Imagen Pixabay

Teletrabajo y el respeto a los derechos a la intimidad y la privacidad

por
Videoconferencia

El pasado martes 13 entró en vigor la nueva Ley del Teletrabajo que regula el trabajo a distancia. La norma quiere dar forma jurídica a las relaciones laborales en el marco del teletrabajo, una realidad que cada día se impone más. Y no sólo por la pandemia, acelerador de la transformación digital como ningún otro, sino porque ambas partes -trabajador y empresa- han encontrado ventajas que en muchos casos superan a las desventajas.

Y, como es natural, situaciones jurídicas que conocíamos del trabajo presencial, continúan estando presentes en la nueva normativa. Así como hablábamos hace poco de la desconexión digital (a raíz de una multa de la AEPD), ahora hay que hablar otra vez de los derechos del trabajador -sobretodo intimidad y privacidad- y también de la potestad discrecional que tiene el empresario, siempre cumpliendo la normativa, en el ámbito del teletrabajo.

En el contexto del teletrabajo todo es más complejo por diferentes razones: por la novedad (quiero decir, inexperiencia), el uso intensivo de la tecnología, la falta de medios y de cultura de teletrabajo, el respeto a los derechos de unos y otros , la supervisión del empresario y otros aspectos que todos hemos sufrido estos últimos meses (como, por ejemplo, hacer una videoconferencia desde el salón de casa con los niños corriendo arriba y abajo).

El teletrabajo ha llegado para quedarse. Y la normativa, también. El futuro se plantea con soluciones mixtas -presencial y a distancia, en proporciones variables según situaciones- y la normativa debe ser lo suficientemente flexible para proporcionar posibilidades antes que recortarlas. Y, si queremos ser competitivos, entre todos debemos hacerlo posible.

Y en este contexto, la Ley faculta a las empresas (artículo 22) a «adoptar las medidas que estimen más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, incluyendo la utilización de medios telemáticos». Y en el artículo 17, Derecho a la intimidad y la protección de datos, dice «La utilización de los medios telemáticos y el control de la prestación laboral mediante dispositivos automáticos garantizará adecuadamente el derecho a la intimidad y la protección de datos».

Expuestas las condiciones, ahora es necesario aterrizar las cuestiones jurídicas planteadas. Para eso tendremos que responder a múltiples preguntas:

  • ¿Qué programas y dispositivos puede usar el empresario para controlar a los trabajadores?
  • La empresa ¿debe proporcionar los medios informáticos y de comunicaciones al trabajador?
  • ¿Cómo se hace efectivo el derecho a la desconexión digital (a través del Registro de jornada?)?
  • ¿Puede el empresario obligar al trabajador a instalar determinados programas en su portátil?
  • ¿Y a usar su conexión wifi? ¿Y el móvil?

La Ley impone al empresario la obligación de informar a los trabajadores de los protocolos de uso de los dispositivos electrónicos y las vías por las que las tareas pueden ser monitorizadas. Y todo ello con dos límites: la intimidad y la protección de datos del trabajador, observando los principios de «idoneidad, necesidad y proporcionalidad».

Como podemos ver, nos queda un largo camino por delante. Y lo tenemos que recorrer rápido y bien. No hay otra.

Revisión Textos Legales Web