Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Màrqueting digital i Privadesa: condemnats a entendre’s

per

Introducció

El màrqueting digital ha arribat a un encreuament de camins crític, influenciat per avenços tecnològics i una conscienciació pública creixent sobre la privacitat de les dades. Empreses a tot el món busquen navegar en aquest panorama complex, equilibrant estratègies innovadores de màrqueting amb la necessitat imperant de protegir la privacitat de l’usuari. Aquest equilibri és crucial no només per a la retenció de la confiança del consumidor sinó també per a la conformitat amb regulacions internacionals creixentment estrictes com el RGPD a Europa, la CCPA a Califòrnia i la LGPD al Brasil.

Tendències Actuals en Màrqueting Digital

Les tendències actuals en màrqueting digital destaquen la personalització i automatització, potenciades per la intel·ligència artificial (IA) i el Big Data. No obstant això, aquesta recollida massiva de dades ha disparat les alarmes sobre la privacitat. Un exemple clar és Facebook, que després del famós escàndol de Cambridge Analytica, va reforçar les seves polítiques de privacitat i va revisar les seves pràctiques de recopilació de dades. Tot i així, segueix molt lluny de complir amb els estàndards mínims de privacitat i totes les seves actuacions en aquest sentit aixequen crítiques (l’última, per exemple, “pay or ok” ara mateix sota l’escrutini de l’EDPB –European Data Protection Board). A més, la tendència de bloqueig de cookies per navegadors com Chrome de Google planteja un canvi significatiu, impulsant les empreses a buscar mètodes alternatius de seguiment i anàlisi del comportament de l’usuari.

Desafiaments de Privacitat en el Màrqueting Digital

El principal desafiament actual rau en l ‘equilibri entre personalització i privacitat. La necessitat de transparència i consentiment s’ ha tornat més crítica, com ho demostra l’ aplicació del RGPD, que imposa estrictes regles sobre el consentiment, i la CCPA, que atorga als consumidors californians el dret a conèixer quina informació personal es recopila sobre ells. Empreses com Amazon i Google han hagut d’adaptar les seves pràctiques de màrqueting digital per assegurar-se que estan en plena conformitat, evidenciant la importància de l’adaptació regulatòria en l’estratègia de màrqueting global.

Innovacions Tecnològiques i el seu Impacte

La innovació tecnològica, com el blockchain i la realitat augmentada, presenta tant oportunitats com desafiaments. Per exemple, el blockchain pot oferir una nova forma de seguretat i transparència permetent als usuaris controlar i monitoritzar qui accedeix a la seva informació. No obstant això, tecnologies com la realitat augmentada, utilitzada per marques com IKEA en la seva aplicació IKEA Place, plantegen preguntes sobre la recol·lecció de dades sensibles de localització i preferències personals. La clau estarà en desenvolupar aquestes tecnologies assegurant que la innovació no comprometi la privacitat de l’usuari.

Estratègies Futures per a la Privacitat i el Màrqueting

Les estratègies futures s’hauran d’enfocar en la privacitat com un pilar fonamental. L’adopció d’un enfocament de “privacitat per disseny“, on la protecció de dades s’integra des de la concepció de productes i estratègies, es tornarà més necessària. Exemples inclouen companyies com Apple, que ha integrat la privacitat en el seu màrqueting i desenvolupament de productes com un avantatge competitiu. A més, el concepte de “zero-party data“, on els consumidors conscientment comparteixen informació a canvi d’un valor clar, guanyarà com a alternativa al seguiment invasiu.

El Paper de la Regulació i l’ Ètica

La regulació seguirà emmotllant el panorama, amb possibles desenvolupaments com una versió estatunidenca del RGPD o actualitzacions a la CCPA. L’ètica en el màrqueting digital es convertirà en un diferenciador clau, on les empreses que adoptin pràctiques transparents i responsables podran destacar-se. L’autoregulació, a través d’iniciatives com el Data Privacy Framework (tercer intent de crear un marc que garanteixi les transferències internacionals de dades personals a USA), també jugarà un paper crucial en la construcció de la confiança del consumidor.

I d’ara endavant?

El futur del màrqueting digital s’haurà de caracteritzar per un enfocament més conscient de la privacitat. Les empreses que aconsegueixin equilibrar la innovació tecnològica amb pràctiques de protecció de dades ètiques i transparents no només s’ adheriran a la regulació, sinó que també fomentaran una relació de confiança amb els seus consumidors. En última instància, l’adaptació i la innovació en el respecte de la privacitat no només és una obligació legal sinó una inversió en la lleialtat i confiança del client a llarg termini. I, en el fons, la qüestió principal: premiar la reputació de les empreses, cosa que és sinònim d’èxit a llarg termini.

Cookies: el que tota PIME ha de saber per no quedar-se enrere

per

En un món digital en constant evolució, la gestió de cookies s’ha convertit en un repte important per a totes les empreses, en especial per a les PIMES que han d’afrontar una regulació aclaparadora. Amb la implementació de noves regulacions en l’àmbit de la protecció de dades, és imperatiu comprendre i adaptar-se a aquestes normatives per garantir un ús adequat de les cookies als seus llocs web i plataformes online.

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentment guies actualitzades, com la “Guia de Cookies” i la “Guia sobre l’Ús de Cookies per a Eines de Mesurament d’Audiència“, que serveixen com a referència essencial.

Aquí volem proporcionar una visió clara i accessible sobre la nova regulació de cookies, destacant com les empreses poden complir amb la normativa, sense perdre de vista la importància de l’experiència de l’usuari, i seguir generant informació valuosa per a l’empresa.

Conceptes bàsics sobre cookies

Les cookies, petits arxius de text emmagatzemats en els dispositius dels usuaris en visitar llocs web, són fonamentals en l’entorn digital actual. El seu propòsit varia des de funcions bàsiques, com recordar les preferències d’ idioma d’ un usuari, fins a rols més complexos en la publicitat i anàlisi de dades. Vegem els principals tipus que existeixen:

Cookies Tècniques: Són aquelles necessàries per al funcionament del lloc web. Inclouen cookies que permeten als usuaris navegar a través de la pàgina i utilitzar les seves diferents opcions o serveis.

Cookies de Personalització: Permeten al lloc recordar informació que canvia la forma en què es comporta o es mostra el lloc, com l’idioma preferit o la regió en la qual es troba l’usuari.

Cookies d’Anàlisi: Recol·lecten informació sobre l’ús que es fa del lloc web. S’ utilitzen per mesurar l’ activitat del lloc i elaborar perfils de navegació dels usuaris, per tal d’ introduir millores.

Cookies Publicitàries: Aquestes cookies emmagatzemen informació del comportament dels usuaris obtinguda a través de l’observació continuada dels seus hàbits de navegació, la qual cosa permet desenvolupar un perfil específic per mostrar publicitat en funció del mateix.

És important entendre que l’ús de cookies no només facilita una experiència d’usuari més personalitzada i eficient, sinó que també implica responsabilitats significatives en termes de protecció de dades. La nova regulació de l’AEPD posa un èmfasi especial en la transparència, assegurant que els usuaris siguin plenament conscients de quines cookies estan sent utilitzades i amb quina finalitat.

Nova Regulació de Cookies i el seu Impacte en les empreses

La nova regulació de cookies, impulsada per l’Agència Espanyola de Protecció de Dades (AEPD), porta amb si una sèrie de canvis significatius que afecten directament les empreses. Aquests canvis estan centrats a garantir una major transparència i control per part dels usuaris sobre les seves dades personals. Vegem com impacta això a les empreses.

Consentiment Explícit

La normativa exigeix que les empreses obtinguin un consentiment clar i explícit dels usuaris abans d’instal·lar cookies en els seus dispositius, excepte en el cas de cookies estrictament necessàries. Això significa que les empreses han d’implementar sistemes que permetin als usuaris acceptar o rebutjar les cookies de manera senzilla i comprensible, detallant la finalitat de cadascuna.

Classificació i Explicació de Cookies

És essencial que les empreses classifiquin correctament les cookies que utilitzen i proporcionin informació detallada sobre el seu propòsit. Això inclou diferenciar entre cookies pròpies i de tercers, tècniques, de personalització, d’anàlisi i publicitàries. Una política de cookies clara i accessible és fonamental.

Registre del Consentiment

Les empreses han de ser capaces de demostrar que han obtingut el consentiment de l’ usuari. Això implica mantenir un registre de consentiments que pugui ser verificat en cas d’ inspecció per part de les autoritats reguladores.

Impacte en l’ Operativa de l’ empresa

Les empreses han de revisar i, en molts casos, modificar les seves pràctiques actuals en relació amb l’ús de cookies. Això pot implicar ajustos tècnics en els seus llocs web, així com la formació del personal sobre les noves normatives.

La nova regulació no només busca protegir les dades dels usuaris, sinó també fomentar una major confiança en els serveis digitals, una cosa essencial per a les empreses que busquen créixer i consolidar-se en el mercat digital. L’ adaptació a aquestes regulacions no és simplement una qüestió legal, sinó també una oportunitat per millorar la relació amb els clients i la reputació de l’ empresa.

Finalitat de les Cookies Publicitàries

Les cookies publicitàries juguen un paper crucial en l’ecosistema digital, especialment per a les empreses que busquen optimitzar les seves estratègies de màrqueting i publicitat en línia. Tanmateix, amb la nova regulació, és essencial comprendre la seva finalitat i com utilitzar-les de manera que respecti tant la normativa com els drets dels usuaris.

Què són les Cookies Publicitàries?

Les cookies publicitàries són utilitzades per recopilar informació sobre els hàbits de navegació dels usuaris. Aquesta informació permet a les empreses i anunciants mostrar publicitat personalitzada, basada en el perfil de l’ usuari. Aquestes cookies poden rastrejar els usuaris a través de diferents llocs web, creant un perfil detallat dels seus interessos i comportaments en línia.

Importància per a les empreses

Per a les empreses, les cookies publicitàries poden ser una eina valuosa per dirigir les campanyes de màrqueting de manera més efectiva. Permeten segmentar l’audiència, optimitzar la despesa publicitària i millorar la rellevància dels anuncis per als usuaris. No obstant això, aquest tipus de cookies requereix un consentiment explícit per part de l’usuari, a causa de la seva naturalesa intrusiva.

Compliment de la Normativa

Les empreses s’han d’assegurar que l’ús de cookies publicitàries estigui en plena conformitat amb les directrius de l’AEPD. Això inclou obtenir un consentiment clar i explícit, proporcionar informació detallada sobre quines dades es recullen i com s’ utilitzen, i oferir als usuaris la possibilitat de retirar el seu consentiment en qualsevol moment.

Consells per a un Ús Responsable

  1. Ser transparents sobre l’ús de cookies publicitàries i la seva finalitat.
  2. Oferir opcions clares per acceptar o rebutjar aquestes cookies.
  3. Utilitzar alternatives menys intrusives quan sigui possible.

L’ús responsable i transparent de les cookies publicitàries no només assegura el compliment de la normativa, sinó que també contribueix a construir una relació de confiança amb els usuaris, element clau per a l’èxit a llarg termini de qualsevol empresa.

Cobrament per Rebutjar Cookies a les Pàgines Web

Un dels aspectes més novedosos i debatuts de la nova regulació de cookies és la disposició que permet el cobrament per rebutjar cookies a les pàgines web.

En pocs dies s’han fet famosos els coneguts com a “murs de pagament” en diaris i altres webs amb continguts de subscripció. La idea que subjau és que, si no puc monetitzar les teves dades, he de cobrar per continuar mantenint el mitjà en funcionament. Exemple clar del que hem dit moltes vegades: res és gratis i si no pagues amb diners, pagues amb dades. Aquesta màxima s’exposa ara amb tota cruesa.

Com que les condicions de l’última Guia eren molt restrictives perquè s’exigia el consentiment per acceptar les cookies (i, diguem-ho tot, la importantíssima caiguda de l’acceptació de cookies), l’AEPD ha decidit obrir un resquici legal per poder eximir del consentiment en determinades circumstàncies.

Aquesta oportunitat per a les empreses apareix recollida a la Guia sobre l’ús de les cookies, amb el següent literal: “Podran existir determinats supòsits en els quals la no acceptació de la utilització de cookies impedeixi l’accés al lloc web o la utilització total o parcial del servei, sempre que s’informi adequadament al respecte a l’usuari i s’ofereixi una alternativa,  no necessàriament gratuïta, d’accés al servei sense necessitat d’acceptar l’ús de cookies”.

La finalitat d’aquestes cookies ha d’estar estrictament limitada al mesurament exclusiu de l’audiència del lloc o de l’aplicació. Aquest tractament ha de ser realitzat en nom exclusiu de l’ editor i ser utilitzades per produir dades estadístiques anònimes únicament.

I l’ús està acotat per garanties que imposa la pròpia AEPD i que venen detallades a la Guia d’Ús de cookies per a eines de mesurament d’audiència.

Estratègies de Monetització i Consentiment

Les empreses han de buscar estratègies de monetització que no infringeixin els drets dels usuaris. Això inclou ser transparents sobre qualsevol tipus de benefici o servei addicional ofert a canvi del consentiment per usar cookies. Les tàctiques com els murs de pagament o els beneficis exclusius per a usuaris que accepten cookies han de ser manejats amb cura per assegurar que no es perceben com una penalització al rebuig de cookies.

Informació Clara i Accessible

És fonamental que les empreses proporcionin informació clara i accessible sobre com el consentiment (o la seva falta) per a l’ús de cookies afecta l’experiència de l’usuari al lloc. Aquesta comunicació ha de ser directa, evitant termes tècnics complexos, perquè tots els usuaris, independentment del seu nivell de coneixement tècnic, puguin entendre les implicacions de la seva elecció.

Implementació Pràctica

Per a les empreses, la implementació d’ aquestes directrius significa equilibrar les seves necessitats de negoci amb el respecte a la privacitat de l’ usuari. És aconsellable revisar les pràctiques actuals de consentiment de cookies i adaptar-les per complir amb la normativa, assegurant alhora que l’estratègia de monetització del lloc web continua sent viable i efectiva.

L’enfocament en la transparència i el respecte a l’elecció de l’usuari no només compleix amb la regulació, sinó que també pot enfortir la confiança i la lleialtat del client cap a la marca.

Alternatives a l’Ús de Cookies

Mentre les cookies continuen sent una eina comuna en la gestió de llocs web, les noves regulacions i la creixent preocupació per la privacitat de les dades han portat moltes empreses a buscar alternatives. Eines com Matomo o Fathom emergeixen com a opcions viables, oferint solucions d’anàlisi web que respecten la privacitat de l’usuari.

Avantatges d’ Aquestes Eines

Compliment de la Normativa: En no dependre de cookies que rastregen dades personals, aquestes eines ajuden les PIMES a complir amb les regulacions de protecció de dades.

Respecte a la Privacitat de l’Usuari: Ofereixen una alternativa més respectuosa amb la privacitat, la qual cosa és valorada per molts usuaris conscients de les seves dades.

Dades de Qualitat: Tot i que no recopilen dades a nivell individual, proporcionen informació valuosa sobre el comportament general al lloc web, la qual cosa és suficient per a moltes estratègies de màrqueting digital.

L’ús d’aquestes eines alternatives no només mostra un compromís amb la privacitat i el compliment normatiu, sinó que també pot millorar la percepció de la marca entre els usuaris preocupats per la seguretat de les seves dades.

Conclusions

En resum, la nova regulació de cookies representa un desafiament important, però també una oportunitat valuosa per a les PIMES. Adaptar-se a aquestes normatives no només és una qüestió de compliment legal, sinó també un pas cap a la construcció d’una relació més transparent i confiable amb els clients. És essencial que les PIMES comprenguin no només les obligacions que imposa la normativa, sinó també l’esperit que la guia: el respecte per la privacitat de l’usuari i la transparència en el tractament de dades.

Com sempre, siguem respectuós amb la normativa i cuideu-vos!

Dia Europeu de la Protecció de Dades 2024

per

El 28 de gener de cada any, se celebra el Dia Europeu de la Protecció de Dades. En una època marcada per la transformació digital, aquest dia no és només una commemoració; és un recordatori vital de la importància de salvaguardar la informació personal i empresarial. Per als directius de les petites i mitjanes empreses (PIMES) , aquesta data simbolitza una oportunitat per reflexionar i actuar sobre com gestionen i protegeixen les dades en les seves organitzacions.

La protecció de dades ja no és només una qüestió de compliment legal, sinó un aspecte crític que influeix en la confiança i la reputació d’una empresa. En un món cada vegada més connectat i digitalitzat, els directius de les PIMES s’enfronten a desafiaments únics. No només s’han d’assegurar que les seves empreses compleixin amb les regulacions vigents, sinó també preparar-se per als canvis futurs en el panorama de la privacitat de dades. El Dia Europeu de la Protecció de Dades 2024 ens ofereix una excel·lent oportunitat per explorar aquests temes i entendre millor com poden impactar a les PIMES .

La Creixent Importància de la Protecció de Dades

Expansió Digital i Vulnerabilitats de Dades en el Context Actual

L’era digital ha portat amb si un creixement exponencial en la quantitat de dades generades, recopilades i processadores. Aquest fenomen, impulsat per l’ avenç tecnològic i l’ adopció massiva d’ Internet, ha transformat radicalment la forma en què les empreses operen. No obstant això, aquest avanç també ha creat noves vulnerabilitats. Les bretxes de seguretat, els ciberatacs i l’ús indegut de dades personals són amenaces cada vegada més comunes, que poden tenir conseqüències devastadores tant per a individus com per a empreses.

Per a les PIMES, que sovint tenen recursos limitats per a la gestió de dades i la seguretat informàtica, aquest entorn representa un desafiament particular. La protecció de dades ja no és només una qüestió de compliment legal, sinó una necessitat crítica per salvaguardar la integritat empresarial i la confiança dels clients.

Reptes de la Protecció de Dades per al 2024

Nous Desafiaments a l’Era de la Intel·ligència Artificial

A mesura que avancem cap al 2024, el panorama de la protecció de dades enfronta reptes cada vegada més complexos, particularment amb la proliferació de la Intel·ligència Artificial (IA). Aquestes tecnologies, tot i que ofereixen innombrables beneficis, també presenten riscos significatius en termes de privacitat i seguretat de dades. La IA, per exemple, pot processar i analitzar grans volums de dades personals, cosa que planteja preguntes sobre el consentiment, la transparència i el control sobre aquestes dades.

Per a les PIMES, això significa navegar per un terreny encara més complicat. S’ hauran de mantenir al dia amb les últimes tecnologies i les seves implicacions en la privacitat de dades, alhora que s’ asseguren de complir amb les regulacions existents i emergents. L’adaptació a aquests canvis no només és crucial per evitar sancions legals, sinó també per protegir el seu actiu més valuós: la confiança dels seus clients.

Impacte Específic en les PIMES

Les PIMES, en particular, enfronten desafiaments únics en aquest context. Moltes d’ aquestes empreses estan en el procés de digitalització i poden no tenir els recursos o l’ experiència necessaris per abordar eficaçment els riscos de seguretat de dades. A més, el dinàmic panorama legal europeu i espanyol exigeix una constant actualització i adaptació.

Les PIMES han de prioritzar l’ educació i capacitació en protecció de dades, així com la inversió en solucions de seguretat i privacitat adequades. A més, és fonamental que aquestes empreses comprenguin no només les seves obligacions legals, sinó també el valor estratègic d’ una gestió de dades eficaç i segura en la construcció de relacions sòlides i duradores amb els clients.

Conclusió

A les portes del Dia Europeu de la Protecció de Dades 2024, és crucial que les PIMES reconeguin la importància d’estar al dia amb les tendències i desafiaments en la protecció de dades. El compliment no és només una qüestió de legalitat, sinó un factor clau per a la confiança del client i la reputació empresarial. En abraçar aquests desafiaments i preparar-se per als canvis legislatius, les PIMES poden no només protegir la seva informació i la dels seus clients, sinó també posicionar-se com a empreses responsables i a l’avantguarda en l’era digital.

Instem els directius de PIMES a prendre aquest dia com un moment de reflexió i acció. La inversió en protecció de dades és una inversió en el futur de la seva empresa i en el de tots.

I, sobretot, Cuideu-vos!

La Lliga (LFP) sota Vigilància

per

En una era on la tecnologia s’entrellaça cada vegada més amb la vida quotidiana, la privacitat de les dades s’ha convertit en un tema de discussió fonamental. Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha posat el focus en La Lliga de Futbol Professional (LFP) per l’ús de sistemes de reconeixement facial als estadis. Aquest avís no només ressalta els desafiaments que enfronten les grans organitzacions, sinó que també envia un missatge crucial a les empreses en general sobre la importància de navegar amb cura en el complex món de la biometria i la protecció de dades.

De fet, ja ens referim al tema setmanes enrere quan l’AEDP va publicar la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La publicació va suposar un important canvi de postura de l’ Agència respecte a l’ ús de la biometria en l’ accés i el control laboral.

Reconeixement Facial i Privacitat

El reconeixement facial, una forma de biometria, s’ha utilitzat cada vegada més per millorar la seguretat en llocs públics, incloent estadis esportius. Tot i que aquestes tecnologies ofereixen beneficis significatius en termes de seguretat, també generen preocupacions considerables sobre la privacitat i els drets individuals. L’AEPD ha cridat l’atenció sobre aquest equilibri delicat, emfatitzant la necessitat de complir amb regulacions estrictes, com el RGPD.

La resposta de La Lliga (LFP)

Davant les advertències de l’AEPD, La Lliga ha defensat el seu ús de sistemes de reconeixement facial, argumentant que el seu principal objectiu és garantir la seguretat als estadis.

La Lliga sosté que aquesta tecnologia ajuda a identificar individus que puguin representar una amenaça, com aquells amb prohibicions d’accés o implicats en actes violents previs. Aquesta justificació es basa en la premissa que la seguretat col·lectiva pot requerir mesures més robustes, tot i que intrusives.

 Tanmateix, aquesta posició planteja un important debat: fins on pot arribar una organització en la implementació de tecnologies de vigilància sota la premissa de la seguretat, sense vulnerar els drets individuals de privacitat?

I aquest debat afecta també totes les empreses i organitzacions.

Implicacions per les empreses

A falta de veure com es resol el contenciós entre La Lliga i l’AEPD, i a l’espera de veure si La Lliga és capaç de trobar suport jurídic per a les seves pretensions, les empreses han de ser conscients que qualsevol tecnologia intrusiva, especialment aquelles que processen dades biomètriques, requereix una anàlisi exhaustiva en termes de compliment normatiu, previ a la seva aplicació. És fonamental que les empreses avaluïn no només els beneficis de seguretat i eficiència que aquestes tecnologies poden oferir, sinó també l’ impacte en la confiança i la privacitat dels individus. Adoptar un enfocament transparent i responsable, alineat amb les directrius de l’ AEPD i el RGPD, és essencial per evitar sancions i preservar la reputació de l’empresa.

Conclusió

L’advertència de l’AEPD a La Lliga per l’ús de reconeixement facial en estadis és un recordatori oportú per a les empreses sobre la importància d’equilibrar la innovació tecnològica amb el respecte a la privacitat i la normativa de protecció de dades. Aquest cas subratlla la necessitat d’ un maneig acurat i ètic de tecnologies potencialment intrusives, instant les empreses a considerar no només els avantatges operatius, sinó també les implicacions legals i socials de la seva implementació.

Som a les portes d’una nova edició del Mobile World Congress (MWC) a celebrar a Barcelona. L’any passat van fer un ús intensiu del reconeixement facial per a la gestió de l’accés dels visitants. Veurem quina solució apliquen aquest any.

Mentrestant, cuideu-vos molt!

Fi de l’ús de l’empremta dactilar per l’accés al centre de treball?

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentment una Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La Guia representa tot un repte per a l’ adopció de sistemes d’ identificació biomètrica, ja que l’ AEPD ha revisat els seus criteris i aclarit els requisits essencials per al tractament de dades. I no posa gens fàcil.

Segons el Reglament General de Protecció de Dades (RGPD), les dades biomètriques es consideren una categoria especial de dades quan s’utilitzen per identificar de manera única a una persona. L’AEPD ha aclarit que aquestes dades només es poden processar en circumstàncies excepcionals, com ara amb el consentiment explícit de la persona o si és necessari per al compliment de les lleis laborals o els drets de protecció social i hi ha una base legal per fer-ho.

La Guia indica que les disposicions legals anteriors que es pensava que legitimaven aquests sistemes biomètrics són insuficients, ja que no esmenten expressament el processament de dades biomètriques ni proporcionen les proteccions de privacitat necessàries per als empleats. A més, el consentiment dels empleats tampoc es considera una base vàlida per a la legitimació a causa del desequilibri de poder inherent entre empresaris i empleats.

La conclusió és que esdevé extremadament difícil, si no impossible, utilitzar sistemes d’identificació biomètrica per a aquests propòsits en les empreses, sense una regulació específica europea o espanyola o un acord de negociació col·lectiva que proporcioni normes clares i garanties.

Com a alternatives als controls biomètrics, les solucions podrien incloure mètodes tradicionals com fulls de signatura manuals, targetes clau electròniques, codis PIN o aplicacions mòbils que permeten registres basats en la ubicació. Aquestes alternatives es preveuen menys invasives per a la privacitat, s’alineen amb el principi de minimització de dades del RGPD i encara complir amb els requisits operacionals del lloc de treball.

L’impacte per a les empreses dels nous criteris de l’AEPD en reconèixer la biometria com mancada de legitimació per al tractament de dades és significatiu. Les empreses hauran de reconsiderar l’ús de sistemes de control biomètric, ja que la Guia limita fortament aquestes pràctiques. Sense una base legal específica, consentiment explícit (molt complicat de fer servir en la pràctica per el desequilibri entre empresa i treballador i tenir que superar el judici d’idoneïtat) o acords col·lectius amb garanties adequades, les empreses no podran utilitzar dades biomètriques per a controls de presència o accés.

Tot això pot requerir canvis operatius significatius i, com dèiem, la implementació de mètodes alternatius de control de presència que respectin la privacitat i la protecció de dades dels empleats.  L’Agència, fins i tot, recomana explorar opcions que ni siguin tecnològiques com, per exemple, la utilització de recursos humans. Vaja, posar un vigilant a la porta, com s’ha fet tota la vida. En fi …

D’ara en endavant, no poseu el dit enlloc i cuideu-vos!

Passes en la bona direcció 

per

La protecció de dades és un tema de creixent importància a la societat digital d’avui. Recentment s’han donat diversos desenvolupaments significatius en aquest camp, al marge de l’omnipresent Intel·ligència Artificial de la que cada dia es generen notícies cada cop més preocupants. Es a dir, passes en la bona direcció.

Per exemple, L’Agència Espanyola de Protecció de Dades (AEPD) acaba de publicar una Guia sobre l’ús de sistemes biomètrics per al control d’accés, establint criteris clars per a ús tant en entorns laborals com no laborals. Aquest avenç destaca la necessitat d’equilibrar la seguretat i la privadesa en l’ús de tecnologies avançades. Recordem, a més, que les dades biomètriques són, a criteri del RGPD, de categoria especial d’alt risc, per la qual cosa hem de tenir una cura especial en el seu tractament.

D’altre banda, TikTok s’ha unit al Canal Prioritari de l’AEPD, una mesura que subratlla el compromís de la plataforma amb la protecció de dades dels usuaris. Aquesta col·laboració sorgeix després de l’ordre de l’AEPD de retirar uns 30 continguts amb material sexual i violent el 2023, la qual cosa posa de manifest la responsabilitat de les plataformes digitals en el maneig i la moderació del contingut. L’empresa ha establert, fins i tot, una via de comunicació per atendre amb urgència els requeriments que li traslladi l’AEPD en cas de continguts que posin en risc els drets i llibertats o la salut física o mental de les persones afectades.

A més, la Unió Europea ha prohibit a Meta (Facebook) mostrar anuncis basats en el comportament dels usuaris en plataformes com Instagram i Facebook. Aquesta decisió és un clar exemple de com les regulacions estan evolucionant per protegir millor la privadesa i les dades personals dels usuaris en un entorn digital cada vegada més intrusiu. La Comissió de Protecció de Dades (DPA) ha assenyalat que s’ha de d’imposar una prohibició del tractament de dades personals segons el comportament dels usuaris, una decisió que tindrà efecte en tot l’Espai Econòmic Europeu (EEE).

Aquests casos reflecteixen una tendència global cap a una supervisió i regulació més grans en l’àmbit de la protecció de dades. Les empreses i les organitzacions són cridades a adoptar pràctiques més transparents i responsables en el maneig d’informació personal. Aquest enfocament no només és crucial per salvaguardar la privadesa dels individus, sinó també per mantenir la confiança en l’ecosistema digital.

En resum, la protecció de dades personals s’ha convertit en una prioritat al món digital. Les regulacions i guies recents, com les emeses per l’AEPD i la UE, són passos importants per garantir que els avenços tecnològics no comprometin la privadesa i seguretat dels usuaris. Les empreses i plataformes s’han d’adaptar a aquests canvis, prioritzant la protecció de dades personals en les operacions i estratègies de negoci. Aquestes mesures són fonamentals per construir un entorn digital més segur i fiable per a tothom.

Així que ja ho sabeu, cuideu la vostra privadesa i cuideu-vos!

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

El DNI “i dos ous durs”

per

Recordem la cèlebre frase de Groucho Marx a la pel·lícula “Una noche en la ópera”. En un camarot abarrotat, Groucho fa la comanda de menjar al cambrer i cada vegada afegeix un plat a la llista. Noi, un altre germà, diu: “I també dos ous durs“, i Harpo, el tercer germà mut, fa sonar la botzina per indicar que, en comptes de dos, posi tres ous. I així diverses vegades.

M’he recordat d’aquesta frase en relació a l’Informe 48/2023 de l’Agència de Protecció de Dades del passat setembre, en el qual posa de manifest la decisió de posar fre a la pràctica que les empreses demanin còpies del DNI per identificar els ciutadans per qualsevol qüestió. És un costum arrelat que empreses i Administració demanin tota sort de documentació al ciutadà i a més “també còpia del DNI” (si és possible per les dues cares).

Existeix una tradició heretada de la derogada Llei Orgànica de 1999, que establia com a procediment oficial per a l’exercici de drets l’obligatòria entrega d’una còpia del DNI (o NIE o document equivalent). Aquesta pràctica segueix duent-se a terme sense que ningú se la qüestioni perquè “sempre s’ha fet així” i perquè sembla que ofereixi més seguretat al tràfic jurídic.

En el seu Informe, l’ AEPD considera que l’ ús de DNI pot resultar excessiu o directament innecessari per complir amb la finalitat d’ identificació.

Quins problemes planteja?

El número del DNI no és una dada de categoria especial però sí que és una dada sensible, ja que el seu mal ús o abús pot generar efectes desfavorables per al seu titular.

La suplantació d’identitat és un perjudici molt habitual ja que poden realitzar-se moltes gestions com donar d’alta contractes o comptes corrents, registrar-se en llocs web de pornografia o joc online, fins i tot, demanar un duplicat de la targeta SIM.

I també suposa un repte de seguretat de la informació per a les empreses que realitzen els tractaments perquè han d’emmagatzemar els DNIs, en format analògic o digital, i assegurar la seva transmissió a tercers. Per a companyies que manegen cents de milers de documents, fins i tot de milions, a l’any, no és un problema menor. Una bretxa de seguretat en aquests casos pot ser devastadora per a la seva reputació, sancions al marge.

Què és el principi de minimització?

Està consagrat a l’article 5.1.c) “Les dades personals seran adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades («minimització de dades»). És a dir, només podem tractar com a responsable únicament aquelles dades que són estrictament necessàries per a la finalitat perseguida.

Què diu l’Agència?

L’ Agència parteix de recordar el principi de responsabilitat proactiva, que recull el RGPD, de manera que cada responsable haurà de valorar els casos d’ ús concrets que se li presentin, i fer judicis de ponderació si fos necessari, i veure si és procedent o no demanar el DNI o tractar el número o guardar una còpia per als seus registres. I, si cal demanar-ho, quines mesures de protecció especial s’han d’aplicar.

I en l’Informe, l’Agència exposa uns criteris generals com que la sol·licitud del número o còpia del DNI no es pot instaurar per defecte i que cal analitzar cada supòsit concret.

I tampoc es pot demanar una còpia del DNI per a l’ exercici de drets per part de l’ interessat.

Com en tot, hi ha excepcions. Per exemple, es pot demanar el DNI per complir amb la normativa en les activitats de prevenció del blanqueig de capitals i el finançament del terrorisme perquè la llei l’empara.

Sancions

Les sancions són cada vegada més freqüents i d’ import més elevat. Missatgeria (per fotografiar el DNI), hotels i plataformes com AirBnb (per demanar còpia per fer la reserva), entitats bancàries per demanar el DNI per fer un tràmit i, fins i tot, una sanció de 300.000 € a una empresa de selecció de personal per vulnerar l’article 5.1.c) del RGPD (minimització de dades) i una infracció de l’article 12 RGPD en l’àmbit de l’exercici dels drets de l’interessat.

Solucions

No hi ha una solució única. Cada responsable haurà de revisar els seus casos d’ús i veure quines dades necessita i recollir només aquestes. O, si necessita la còpia del DNI, justificar-ho.

I veure si hi ha alternatives menys costoses per a l’usuari.

Hi ha al mercat solucions tècniques que permeten, per exemple, escanejar un document apantallant (ofuscant, excloent, pixelant la imatge, etc.) determinats camps el que permet guardar només aquells estrictament necessaris.

O enviar codis alfanumèrics al telèfon mòbil que permetrà la identificació de l’usuari.

Conclusions

La pràctica de demanar el DNI per a tot ha de decaure. I s’ha de fer un esforç per part de tothom perquè s’escometi la reforma dels sistemes de les empreses al més aviat possible. I prendre mesures també encausat, dels quals parlarem un altre dia. Com sempre, cuideu-vos!

Noves “smart glasses” de Meta i Ray-Ban: tecnologia que espanta

per

Meta ha anunciat en el seu esdeveniment Meta Connect 2023 les seves noves ulleres intel·ligents en col·laboració amb Ray-Ban. És la segona generació de les Ray-Ban Meta Smart Glasses, que han estat dissenyades per EssilorLuxottica i es posaran a la venda als EUA el pròxim 17 d’octubre amb un preu inicial de 299 dòlars (no se sap encara quant costaran a Espanya).

La combinació de la experiència d’un gran fabricant d’ulleres com Ray-Ban amb una plataforma tecnològica capdavantera ha donat a llum un producte tremendament avançat, amb possibilitats gaire bé infinites i a un preu assequible.

Les especificacions tècniques són, senzillament, brutals. Càmera millorada de 12 MP, emissió en directe a Instagram i Facebook, àudio millorat, trucades i missatges, comandaments de veu, touchpad i botó de captura, estoig de carga i, naturalment no podia faltar, Meta AI per trobar la informació en el moment precís des de les teves ulleres. Disposa també d’una App dedicada.

I el disseny és Ray-Ban. Amb això ho diem tot. Des de l’estoig quasi convencional (però que emmagatzema 8 càrregues) fins a dos dissenys icònics: Wayfarer i Headliner, en diferent colors. Són lleugeres, a la moda i amb més de 150 combinacions de muntures i vidres. I, naturalment, es poden graduar a petició.

I, fins aquí, la part brillant de la noticia. Però, com les monedes, tot té dos cares. I el revers és, como quasi sempre, la privacitat. No oblidem que estem parlant de Meta, una companyia que s’ha destacat sempre per tenir un absolut menyspreu per les dades personals dels seus usuaris.  

Només cal recordar l’escàndol de Cambridge Analytica que va desvetllar que l’empresa va accedir indegudament a dades de milions d’usuaris de Facebook per influir a les eleccions.

I, des de l’entrada en aplicació del RGPD el 2018, Meta ha enfrontat multes rècord i litigis relacionats amb la privacitat de les dades en diversos països, inclosos Estats Units i els països membres de la Unió Europea, a causa de la seva gestió de la informació de l’usuari. Aquests han inclòs problemes amb el consentiment de l’usuari i el compartir dades amb tercers sense permís explícit.

Un altre problema important que té Meta és l’ús de dades de l’usuari per fer publicitat dirigida, mitjançant, algoritmes per mostrar contingut i anuncis personalitzats. Aquesta pràctica ha aixecat crítiques en relació  amb la privacitat i l’autonomia de l’usuari.

Tantes han estat les crítiques i tant el debat en els mitjans o a les xarxes que, finalment, Facebook va tenir que canviar el seu nom corporatiu a Meta.

 I, ara, després de la iniciativa del Metavers (que de moment no arrenca), presenta la segona generació d’ulleres intel·ligents. I, es clar, el primer que pensem és en l’horror de milions d’usuaris recopilant dades, en tot moment i lloc, en foto, vídeo àudio i pujant-les en directe a les xarxes socials.

Haurem de veure la Política de Privacitat de Meta per aquest supòsit però, permeteu-me no ser gaire optimista veient-ne la trajectòria fins ara. Això sí, les ulleres són una “passada” i qui sap si tindran èxit i aviat tots portarem ulleres intel·ligents amb la mateixa naturalitat que portem rellotge.

De moment, però, cuideu-vos!

Espanya, un pas endavant en la supervisió de la Intel·ligència Artificial

per

En efecte, l’Agència Espanyola d’Intel·ligència Artificial (AESIA) començarà a funcionar en un termini màxim de tres mesos. A finals d’agost, el Consell de Ministres va aprovar l’Estatut d’aquest organisme, que s’adscriu al Ministeri d’Assumptes Econòmics i Transformació Digital. Espanya es converteix així en el primer país europeu en tenir un òrgan d’aquestes característiques. Però comencen per el principi.

Què és la intel·ligència artificial?

La intel·ligència artificial (IA) és un subcamp de la informàtica que busca crear sistemes capaços de realitzar tasques que requereixen intel·ligència humana. Aquestes tasques poden incloure, però no es limiten a, la comprensió del llenguatge natural, la percepció visual, la presa de decisions, la resolució de problemes i l’aprenentatge a partir de dades o experiències anteriors.

La IA es basa en diferents tècniques i teories, incloent-hi els algoritmes de cerca, la lògica, el reconeixement de patrons, l’aprenentatge automàtic, les xarxes neuronals, la robòtica, entre d’altres.

Què és la intel·ligència artificial generativa?

I com tot avança a tota velocitat, ara ja disposem de IA generativa. La intel·ligència artificial generativa es refereix a sistemes d’IA que poden generar contingut nou que no ha estat prèviament vist. En lloc de simplement analitzar dades i extreure’n informació (com ho faria un sistema d’IA “discriminatiu”), els sistemes generatius poden crear dades que semblen noves i originals.

Això fa que els problemes que planteja la IA és multipliquin.

Perquè necessitem regular la IA?

Les raons són múltiples. Podem citar-ne unes quantes com conductes d’ètica dubtosa que afectin a la privacitat dels individus, raons de seguretat si la IA es fa servir per atacar sistemes de ciberseguretat, opacitat dels algoritmes que amaga com es prenen les decisions, biaix en la presa de decisions que afecti a la igualtat de les persones, responsabilitat en cas de decisions errònies preses per la IA, estimular la innovació cap a direccions positives per la societat, fer aportacions decisives en el camp econòmic i laboral si la IA està ben orientada, protegir el consumidor o, per últim, per coordinar la nostra regulació amb la d’altres països, a la manera, per exemple, com s’ha fet amb la protecció de dades a Europa.

La clau és trobar un equilibri entre protegir la societat i els drets individuals sense frenar la innovació i el desenvolupament tecnològic.

Quin pas ha donat Espanya?

El Govern ha explicat que aquesta estratègia inclou diferents plans estratègics, entre ells l’Estratègia Nacional d’Intel·ligència Artificial (ENIA) , que té com a objectiu donar un marc de referència per al desenvolupament d’una intel·ligència artificial “inclusiva, sostenible i centrada en la ciutadania”.

L’Estratègia forma part del Pla de Recuperació, Transformació i Resiliència (PRTR) , que pretén situar Espanya com a país capdavanter en intel·ligència artificial (IA). L’AESIA s’adscriu al Ministeri d’Afers Econòmics i Transformació Digital mitjançant la Secretaria d’Estat de Digitalització i Intel·ligència Artificial.

Amb la creació d’aquesta agència, Espanya es converteix en el primer país europeu que té un òrgan d’aquestes característiques i s’anticipa a l’entrada en vigor del Reglament europeu d’intel·ligència artificial.

La figura del DPD en la aplicació de la IA

El Delegat de Protecció de Dades, professional que revisa el compliment de la normativa de privacitat a les empreses i organismes, és la figura idònia per supervisar la utilització de la IA. Com diu l’AEPD, “el DPD, fins i tot en els casos que no sigui obligatori, pot ser de gran utilitat en aquelles entitats que empren solucions basades en IA i que tracten dades personals, o  que desenvolupen solucions d’IA que fan ús de dades personals per a l’entrenament dels models. A tenir-ho present.

Conclusions

El món de la IA, tant apassionant com ple de perills i incerteses, ha irromput amb força en la nostra societat. I encara només hem vist el principi. Si som capaços de fer-la nostra, tot minimitzant les desavantatges i potenciant les avantatges per tots, no per uns quants, estic convençut que estem davant del que els americans en diuen un ”game changer”.  Molt disruptiu, potser, fins i tot, superant l’eclosió d’Internet. Veruem.

 

Mentrestant, cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web