Sin categorizar

El aumento imparable de la ciberdelincuencia es un hecho en nuestro país y en todas partes. Según un Informe de Cibercriminalidad del Ministerio del Interior de 2019, los ciberdelitos ya representan el 10% de las infracciones penales conocidas. Y los fraudes en Internet son el segundo delito más común por detrás de los hurtos.

Y este hecho no ha hecho más que empeorar en tiempos de pandemia. El teletrabajo a toda prisa, sin medios y sin preparación por parte de las empresas y trabajadores ha sido un campo abonado para todo tipo de fraudes, estafas y, lo que más nos importa ahora y aquí, los ciberataques a las empresas.

Check Point, proveedor especializado en Ciberseguridad a nivel mundial, en su Informe «Cyber ​​Attack Trends: 2020 Mid-Year Report«, muestra cómo los cibercriminales han aprovechado del Covid-19 para lanzar campañas contra las empresas de todo el mundo y todos los sectores, incluyendo gobiernos, infraestructuras críticas, instituciones sanitarias, proveedores de servicio, usuarios finales y otros. Los datos señalan que las empresas españolas han sufrido más de 450 ciberataques semanales de media. Y las cifras no dejan de aumentar. Por nuestra parte, apuntar que este año, por primera vez, algunos clientes han sufrido ataques en la nube (ransomware, encriptación de datos con petición de rescate).

Y todo esto, que es necesario conocer, qué tiene que ver con la protección de datos? Pues tiene mucho que ver en dos aspectos: por una parte, por la obligación que tiene el responsable del tratamiento de preservar adecuadamente los datos personales que se lo encomiendan. Y por el otro, la posibilidad que tiene la empresa de aprovechar la adecuación al Reglamento para hacer extensivo a todos los intangibles de la empresa las medidas implementadas.

En efecto, de acuerdo con el Reglamento General de Protección de Datos (RGPD), la primera medida que debe impulsar el responsable es un Análisis de Riesgo que permita valorar los riesgos que se asumen al tratar datos personales. A partir de esta valoración, el responsable viene obligado a implementar, de forma discrecional (partiendo de la responsabilidad proactiva), medidas técnicas y organizativas para garantizar la seguridad de los datos.

Y nuestra recomendación es extender el Análisis de Riesgo en el resto de activos intangibles de la empresa (know-how, proyectos, patentes, marcas, planes de marketing, clientes, etc.) y, una vez hecha la valoración global , ampliar y reforzar las medidas de seguridad que, además de garantizar el cumplimiento de la normativa en materia de protección de datos, preserve todo nuestro patrimonio empresarial intangible y, sobre todo, que preserve nuestra reputación.

Imagen Pixabay

El «marketing de permiso» es un término acuñado por Seth Godin hace años en su libro «Permission Marketing», en el que expone este concepto que revolucionó la manera en que los profesionales del marketing enfocaban este medio. La pregunta es, si hace veinte años que expuso su teoría en bastante éxito, porque cuesta tanto entender el concepto desde el punto de vista de la protección de datos si ambos están bastante alineados.

El artículo 11.4 del RGPD (Reglamento General de Protección de Datos) define el «consentimiento del interesado» como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen«. Esto no quiere decir, claro, que sea fácil conseguir el permiso de tus clientes potenciales. Pero si queremos tener éxito en el largo plazo, hay que considerarlo como una inversión que dará frutos a lo largo del tiempo.

Y esta definición coincide punto por punto con el concepto de Godin. De hecho el subtítulo del libro es «Turning Strangers into Friends, and Friends into Customers«, o lo que es lo mismo, «Convirtiendo Desconocidos en Amigos, y Amigos en Clientes«. De hecho, el mismo Godin termina la frase convirtiendo los Clientes en Vendedores «.

Por una de esas coincidencias cósmicas, el libro se publicó en 1.999, el mismo año que en España se promulgaba la LOPD (Ley Orgánica de Protección de Datos). Si en ese momento hubiéramos empezado con el marketing de permiso, cumpliendo con la normativa de Protección de datos, ahora tendríamos unas sólidas relaciones establecidas sobre la base de la confianza. Pero siempre hay un momento para empezar y podría ser ahora.

Porque el marketing de permiso es Anticipado (el usuario espera recibir tu mensaje), Personal (los mensajes están directamente relacionados con la persona y Relevante (el mensaje tiene interés por el receptor). Y esto coincide cien por cien con la normativa de protección de datos.

El reverso de la moneda es el marketing de interrupción que no respeta al usuario para que no pide su permiso, es invasivo y genera rechazo y desconfianza. Hagamos las cosas bien porque como decía hace muchos años un eslogan institucional «el trabajo bien hecho, no tiene fronteras; el trabajo mal hecho, no tiene futuro «.

Es una consulta frecuente. Ya hablamos en un post, allá por el mes de mayo, sobre los textos legales de la web. Lo que interesa explicar hoy es que para tener una web legal es necesario que la empresa como tal cumpla con el Reglamento General de Protección de Datos (RGPD). No basta con que los textos legales tengan apariencia de legalidad, necesitamos hacer más cosas.

En Internet es frecuente encontrar todo tipo de textos legales. Aparte de los correctos (en denominación y contenido), podemos ver textos con nombres inventados (Términos y condiciones de uso de Privacidad), texto copiados ( «fusilados», con el peligro que supone utilizar los textos de otra empresa) , textos incompletos y una larga casuística de la que nos ocuparemos otro día.

Hoy quiero llamar la atención a las empresas que utilizan textos sin haberse adecuado al Reglamento. Empecemos por decir que los textos legales que aparecen en la web son la parte pública de la adecuación. Pero para disponer de estos textos, la empresa tiene que, previamente y entre otros, haber hecho un Análisis de Riesgos, tener un Registro de Actividades de Tratamiento, definir una Estructura técnica y organizativa, haber establecido las Medidas de seguridad correspondientes, firmar los necesarios Acuerdos de confidencialidad con los empleados y el Contratos de encargado de tratamiento con empresas terceras que tratan datos por cuenta nuestra, generar los Protocolos de información y comunicación (cláusulas de tratamiento, Internet, Derechos del usuario, … ) y producir los Informes reglamentarios.

Sólo cuando la empresa está adecuada al Reglamento se puede generar la Política de Privacidad y los textos necesarios para los formularios que recogen los datos personales de los usuarios. Naturalmente, tendremos que añadir otros textos que dependen de otras normativas, según el caso, como son el Aviso legal, la Política de Cookies (con el banner correspondiente) y las Condiciones de Contratación (si tenemos una tienda virtual).

Copiar los textos de otro web (o prácticas similares) porque no tenemos la empresa adecuada es un fraude que está perseguido por las autoridades. Y es bastante fácil detectarlo y, por tanto, sancionarlo.

La Protección de datos no es compleja pero hay que hacerlo bien. En los supuestos más sencillos, el propio usuario la puede implementar siguiendo las indicaciones de la Agencia Española de Protección de Datos (AEPD) a través del programa FACILITA. Por el resto, recomendamos buscar la ayuda de un profesional.

Recordemos que implantar la Protección de Datos tiene un coste cierto y muchas ventajas como evitar costes reputacionales y sanciones y generar confianza entre empleados, clientes, proveedores, entre otros. No tener un programa de Protección de Datos, en cambio, puede tener un coste incalculable.

Imagen Pixabay

Ya nos referimos en un post anterior ( ‘Efecto Bruselas’: puñetazo de la UE sobre la mesa) a la decisión del Tribunal de Justicia de la Unión Europea (TJUE) que invalidaba el acuerdo conocido como «Privacy Shield «que garantizaba que las empresas estadounidenses adheridas al mismo, más de 5.000, aplicaban los mismos estándares de protección de datos que las empresas europeas afectadas por el RGPD. Esta decisión permitía, entre otras cosas, que las transferencias de datos entre países adecuados y Estados Unidos se pudieran realizar como si de un país europeo adecuado se tratara.

La razón, según dice el Tribunal, es que la normativa interna americana relativa al acceso y utilización de datos personales por las autoridades no ofrece las garantías suficientes ya que los programas de vigilancia no se limitan a lo estrictamente necesario, vulnerando el principio de proporcionalidad.

Y esta decisión conlleva, naturalmente, consecuencias en diferentes órdenes de valor y por diferentes sectores. Lo que nos ocupa aquí es el sector del marketing para muchas empresas del sector utilizan plataformas de envío masivo, por ejemplo MailChimp, que están ubicadas en los Estados Unidos. Como sea que el Privacy Shield sse ha anulado sin periodo de transición ni moratoria alguna, todos los flujos se han quedado sin soporte legal y, en rigor, se deberían suspender (desde el pasado 16 de julio, fecha de la sentencia).

En el momento de escribir estas líneas no se ven alternativas de cumplimiento plenamente satisfactorias. La única solución, ahora mismo, es mover los datos personales a plataformas ubicadas en territorio europeo (si es necesario, cambiando de proveedor). Somos conscientes de las dificultades operativas de hacer esto en la mayoría de los casos, sobre todo si supone cambio de proveedor.

Las demás soluciones, como por ejemplo recabar el consentimiento explícito de los usuarios o suscribir con el importador nuevas o mejoradas cláusulas contractuales tipo, no son fáciles de implementar y, actualmente, no está claro que cumplan la legalidad. Hay que estudiar caso por caso.

Recomendamos insistentemente pedir consejo profesional si se encuentra en la circunstancia de tener que tratar datos personales que se alojan en servidores en Estados Unidos. No se la juegue!

Imagen Pixabay

Leíamos días atrás que un alumno ha demandado a la Universidad de Córdoba para la videovigilancia en los exámenes online. El estudiante entiende que con este sistema «se viola el derecho a la intimidad del domicilio y que no hay base legal para hacerlo». El juzgado número 3 de la plaza del admitió a trámite y se han solicitado medidas cautelares.

Nos encontramos con un ejemplo clásico de conflicto entre Tecnología y Privacidad. Y no es el único estos días: el de la toma de temperatura es otro por cuestiones de privacidad de los usuarios.

Tenemos que empezar a asumir que las cosas no volverán a ser como antes. Es más, no deberíamos querer que fuera así. Debemos entender que, una vez superada la pandemia, la mayoría de cosas que hemos hecho y las tecnologías que hemos aplicado, las debemos continuar utilizándolas, más intensamente y mejoradas en la medida que podamos. Todo lo que se pueda hacer a distancia (teletrabajo, telemedicina, teleeducación, telejustícia, etc.), se debe hacer más y mejor. Esto redundará en una mejora de la productividad, del medio ambiente y de la conciliación laboral, entre otros. Un proceso en el que encontraremos inconvenientes de todo tipo (aunque durante la pandemia lo estamos haciendo todos bastante bien) que tenemos que ir superando para mirar adelante y no volver a prácticas inasumibles a estas alturas de siglo.

Y un inconveniente a resolver es la intrusividad de las tecnologías en cuanto a nuestra vida privada y en nuestros derechos como ciudadanos. El titular de la noticia es un claro ejemplo. La Universidad, por presión de dar una respuesta académica a la situación, seguramente no ha planteado adecuadamente la cuestión. Pero hay que aplaudir la valentía de querer implementar una solución tecnológica de eproctoring [i] a un problema al que hay que enfrentarnos por muchas razones que aquí no toca exponer pero que todos tenemos en la cabeza.

Por último, dos consideraciones jurídicas de la noticia. Sorprende, sin haber leído la demanda, que sea por violación de la intimidad de domicilio y no por protección de datos. Tenemos en cuenta que el alumno está advertido de antemano y que puede situar la cámara como le parezca más oportuno (incluso poner un fondo virtual), parece difícil que se viole la intimidad. Pero tiempo habrá para seguir el tema con calma.

El otro consideración se recordar que cualquier intromisión en la intimidad debe tener una regulación por Ley Orgánica porque afecta al derecho a la privacidad, regulado por el artículo 8.1 del Convenio Europeo de Derechos Humanos (CEDH) y el artículo 18 de la Constitución Española (CE).

Como siempre, ¡cuidaos!

[i] El e-proctoring, es decir la supervisión tecnológica, es el ámbito de trabajo actual con respecto a los exámenes online. Un ejemplo de herramienta de este estilo es Smowl que registro al alumno, monitoriza su identidad constantemente, se analizan las imágenes con un reconocedor facial y, finalmente, se certifica que el alumno ha hecho por él mismo el examen. Incluso verifica la IP de acceso y si otros usuarios la están usando simultáneamente. La aplicación garantiza la privacidad con una estructura por capas, separando los datos de las imágenes. Entre sus clientes se encuentra La universidad Abierta de Cataluña (UOC).

Esta es una consulta recurrente. Y suele ir acompañada de expresiones como «si somos muy pequeños» o «quién quieres que nos denuncie» o «lo tengo pendiente pero no tengo tiempo» o «esto es por Google o Facebook» o similar.

Pues en este tema hay, como siempre, buenas y malas noticias. Vemos.

Empezaré con algunas declaraciones que, no por obvias, debemos dejar de insistir. La primera es que en un estado de derecho, las leyes son iguales para todos. En el ámbito empresarial y en cuanto a la protección de datos, el Reglamento (UE) 2016/679 del Parlamento Europeo y la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos establecen sanciones en función de la gravedad de las conductas y no en función del tamaño de la empresa. Como es natural, una empresa pequeña puede tener una conducta impropia como Facebook y será sancionada igualmente. Eso sí, la empresa pequeña puede haber puesto en riesgo o comprometido un número pequeño de datos mientras que en el caso de Facebook pueden ser millones. Por lo tanto, la sanción será menor pero se sancionará, sin duda.

Y sí, te pueden sancionar por la página web y por diversos motivos como son que falte algún documento, que los documentos no cumplan con la normativa, que la política de cookies no sea correcta y una larga serie de casuísticas a las que debemos prestar atención.

Y se pueden sancionar todas las web, independientemente de la extensión que tenga. No sólo las .es que corresponden a España, sino el .cat, el .com y todos los dominios. El Reglamento aplica a cualquier tratamiento de datos de ciudadanos europeos, sin tener en cuenta el dominio y se puede sancionar a cualquier web del mundo que infrinja lo estipulado en la ley de protección de datos europeas.

Las sanciones se clasifican en muy graves, graves y leves. Entre las primeras podemos citar el no tener un procedimiento para el ejercicio de los derechos de los usuarios, tratamiento de datos de forma ilícita (falta de consentimiento, compra bases de datos, …), consentimientos recogidos incumpliendo la ley, usar los datos para finalidades diferentes de las explicadas al recoger el consentimiento o no facilitar el acceso a la autoridad de control del ejercicio de sus potestades de investigación, entre otros.

En cuanto a las graves están, a modo de ejemplo, el tratamiento de datos de menores sin el consentimiento adecuado, contratar un encargado sin garantías, no aplicar las medidas organizativas o técnicas adecuadas.

No nos extenderemos con las leves. Sólo recalcar la importancia de que nuestra web esté adecuada a la ley, no sólo para prevenir las sanciones sino para transmitir la percepción de que hacemos las cosas bien y que tenemos el máximo cuidado para los datos que por todas las otras cosas que fe a la empresa.

Ah, y recordar que la web es la parte externa y visible de la empresa. Y que hay que adecuar también la parte interna. Pero eso será en otro post.

La abogacía en general ha llegado más tarde que otros sectores en las redes sociales. Primero porque siempre ha habido reticencias a hacer publicidad (había un tiempo que incluso la publicidad estaba prohibida). Más tarde porque parecía que era cosa de jóvenes y se consideraba un canal poco serio para comunicarse. Y, por último, la barrera tecnológica que hacía difícil (no sólo para los abogados pero especialmente para ellos) el acceso a estos medios.

Pero poco a poco, y aunque falta mucho, los abogados han ido abriendo camino y ahora, a pesar de no ser mayoritarios, ya hay muchos que tienen presencia en las redes sociales. No en todas, claro, pero sí en las principales como Linkedin, Twitter o Facebook. Y justo cuando empezábamos a explorar estos nuevos lugares de las redes nos encontramos, de repente, en medio de una pandemia que, actualmente, no sabemos ni cuándo ni cómo terminará.

Pero hay dos tendencias que parecen claras: la transformación digital ha llegado para quedarse y el teletrabajo aumentará su cuota de participación en el mercado de trabajo. El coronavirus ha impulsado decididamente las dos iniciativas de una manera que hasta hace dos meses era impensable.

Y ahora qué? Y si la pandemia, esperamos que no, dura dos años? Y si, cuando pase, las reglas del juego han cambiado? Pues que las redes sociales (y las tecnologías de la información y la comunicación en general) tendrán un extraordinario reconocimiento en sectores como la abogacía, hasta ahora dubitativos y reticentes. No hay otra. Como sino conseguirán clientes los abogados si está todo el mundo confinado? El tiempo de confiar en la placa de la puerta para que entre un cliente han pasado definitivamente.

Y ahora toca hacer una formación intensiva en redes. Para que las comunicaciones se dirigirán a resolver los problemas que surgen en el día a día (lo hemos visto con los temas laborales o los problemas de seguridad de las aplicaciones de videoconferencia como Zoom) y son relevantes para nuestra audiencia. En caso contrario, no tendrán y no ayudarán a posicionar el despacho.

Por último, algunos consejos para comunicarse en las redes en los tiempos que corren.

• Proporcionar contenido valioso. Si no tenemos nada interesante que decir, más vale callar.
• Monitorizar las informaciones de interés, por ejemplo conversaciones, en las que podemos participar dando nuestra opinión.
• Aprovechar estas semanas para establecer relaciones (todos estamos más receptivos) con compañeros y colegas.
• Revisar lo que hemos escrito recientemente (por ejemplo, durante este año).
• Valorar darse de alta en una nueva red social (valorando la idoneidad, estimando el esfuerzo y el retorno).

Y, como siempre, muchos ánimos!

¿Cuál es el mayor problema que puede encontrar la regulación y autorregulación publicitaria en el entorno digital donde pueden surgir nuevas prácticas y muchas veces no se reconocen claramente las acciones comunicativas publicitarias?

Esta es la pregunta que muy oportunamente formulaba Silvia Martínez, Directora del Máster Universitario Social Media: Gestión y Estrategia, días atrás con motivo de una entrevista para los alumnos de Grado de Comunicación de la UOC.

No insistiremos en el grado extremo de disrupción que las nuevas tecnologías están suponiendo para cualquier actividad de las que llevan a cabo. De una u otra manera, todos nuestros comportamientos se ven afectados, y cada día más y de forma más profunda. En un próximo post hablaremos de «la caja de Skinner» y su teoría psicológica aplicada a la publicidad y la afectación a nuestra privacidad. Hoy, sin embargo, nos centramos en responder a la pregunta de cabecera.

Es evidente que en el entorno digital surgen nuevas prácticas que muchas veces están a tope de una acción comunicativa. Esto está pasando en los últimos tiempos con los «influencers» en las redes sociales. No es fácil distinguir entre una recomendación privada y la recomendación profesional de un «influencias», pagada por una marca.

De hecho, la semana pasada, conocíamos que el Ministerio de Sanidad está analizando la fórmula para proceder y trabajar conjuntamente con Google frente a los contenidos difundidos en YouTube en el que «terceras» personas diferentes a los laboratorios, como determinadas ‘influencers’, promocionan fármacos, sujetos o no a prescripción. Recordemos que la publicidad de medicamentos que requieren prescripción médica está prohibida por cualquier medio.

Incluso y raíz de las denuncias del Consejo General de Colegios Oficiales Farmacéuticos, se ha presentado en el Congreso una proposición no de ley para instar al Gobierno a abordar esta problemática en colaboración con las redes sociales y las plataformas digitales.

No es éste ni el único ni el último sector afectado por estos nueve comportamientos. Últimamente asistimos, por ejemplo, a la polémica sobre la regulación de la publicidad en el sector del juego «online» que afecta a sectores muy vulnerables como son los jóvenes. Una publicidad muy agresiva y prácticamente omnipresente hace imprescindible aprobar normativa que supere los códigos de conducta del sector.

Dos ideas para acabar. Una, es evidente que las nuevas tecnologías están cambiando las reglas del juego en el mercado de la publicidad y las plataformas digitales son un ejemplo. Y dos, que hay una regulación legal y códigos de conducta que no podemos obviar a la hora de plantear una campaña publicitaria del tipo que sea, por mucho que Internet tenga reglas diferentes: las reglas están y deben cumplirse. Y recordemos que este cumplimiento va en beneficio de todos.