Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Registre de Jornada i Dades biomètriques, una relació difícil

per

El tractament de dades biomètriques sempre comporta una dificultat afegida com és la de realitzar l’obligatòria Avaluació d’Impacte (AIPD). La identificació biomètrica implica el tractament de categories especials de dades per a les quals el Reglament requereix garanties reforçades. Les identificacions més comunes d’aquest tipus són la facial i l’empremta digital. D’aquesta última i de les conseqüències de fer-ho malament en parlem en aquest post.

I és que l’AEPD acaba de sancionar a una empresa per implantar indegudament un registre de jornada laboral mitjançant l’empremta digital. En la resolució s’imputa a la reclamada que, al tractar-se de dades de categoria especial i existint l’obligació  de fer una Avaluació d’Impacte, va incomplir l’article 35 RGPD. Aquest article diu que quan sigui probable que el tractament, en especial si es fan servir noves tecnologies, pot comportar un alt risc per els drets i llibertats de les persones físiques, el responsable realitzarà, abans del tractament, una Avaluació d’Impacte de les operacions de tractament en la protecció de dades personals.

En la Resolució, l’AEPD considera que l’empresa tractava dades de categoria especial, dades biomètriques, però l’empresa insisteix en que la tecnologia emprada és la de verificació / autenticació biomètrica que no entra en la categoria especial de dades i, en conseqüència, no exigiria la realització d’AIPD. Les dades d’identificació biomètrica que permeten identificar de manera unívoca a una persona física serien les que obligarien a realitzar l’Avaluació, com és el cas que ens ocupa.

També senyala la Resolució que existeixen mitjans menys intrusius per mantenir aquest tipus de registres i que la tecnologia emprada no superava el necessari judici de proporcionalitat que es tenia que haver fet i que hi ha sistemes alternatius com, per exemple, targetes identificatives.

Des del punt de vista laboral, l’Agència considera que les empreses no haurien d’emparar-se en el consentiment com base legitimadora del tractament, tret que es tracti de casos excepcionals. I això perquè no es parteix d’una posició d’equilibri entre les parts perquè en la relació laboral hi ha una relació de subordinació. El consentiment només pot ser vàlid si l’interessat pot realment triar i no existeix  un element de compulsió, pressió o incapacitat per exercir la lliure voluntat. A més, ha de ser possible retirar-lo en qualsevol moment, sense cost ni desavantatge per l’interessat, i s’han d’oferir alternatives. Per últim, els interessats tenen dret a la supressió de les dades quan el consentiment s’ha retirat.

Com a conclusió, val dir que la tecnologia de reconeixement biomètric és molt invasiva, que cal distingir entre identificació biomètrica (requereix AIPD) i autenticació biomètrica, menys intrusiva, i que hi ha sistemes més proporcionats per portar el control de la jornada horària dels treballadors. I tenir tot això en compte perquè la multa ha estat de 20.000€.

Com sempre, cuideu-vos!

Fotos i Xarxes socials, amistats perilloses

per

No cal recordar la implantació de les xarxes socials a la nostra societat, amb tasses de penetració entre els internautes superiors al 80% a Whatsapp o Facebook, i de la facilitat que ens ofereix la tecnologia per fer fotografies (o copiar-les) per pujar-les a les xarxes i distribuir-les en segons a milions d’usuaris. Lluny queda aquella fotografia analògica que potser tenia més “glamour” però, per descomptat, no tenia les avantatges de l’actual. Però aquestes avantatges, si no som curosos, ens poden complicar molt la vida.

I això ve a compte de l’alerta de la Fiscalia de Delictes Informàtics de Barcelona sobre l’augment, coincidint amb la pandèmia, de denúncies davant la policia per la captació de fotos que les adolescents, principalment noies entre 12 i 18 anys, pengen a les xarxes socials per utilitzar-les com reclam en portals pornogràfics de pagament a Internet.

Heu llegit bé. Les adolescents -des del 12 anys- pugen fotos lleugeres de roba o en bikini i en postures més o menys explícites, per atraure més seguidors. I les web pornogràfiques fan servir aquestes imatges per promocionar la seves pàgines, aprofitant-se fins i tot, de la popularitat que aquestes noies poden tenir com “influencers”.

Tot i ser cridanera aquesta utilització injusta de les fotografies com ham, no és ni de lluny l’única amistat perillosa que poden trobar en el binomi fotos i xarxes. Aquí en recollim alguns.

Menors. Els progenitors, independentment del seu estat civil, són els responsables de que es respectin el dret a la imatge, al honor i a la intimitat del menor. I són els que han d’autoritzar que es comparteixin imatges dels seus fills. A partir dels 14 anys però, segons la Llei Orgànica 3/2018 (LOPD), és el menor qui ha d’autoritzar la publicació.

Drets d’autor. Partint de la Llei de Propietat intel·lectual, hem de prendre precaucions per respectar els drets d’autor. Hem de recordar que els drets d’explotació de les fotografies pertanyen en exclusiva al seu autor. Per compartir fotografies a les xarxes socials, hem de comptar amb una autorització expressa de l’autor. Un altre dia aprofundirem més en aquest tema.

Àmbit laboral.  L’ús indegut en horari laboral pot ser un agreujant en cas d’acomiadament disciplinari. A tal d’exemple, fotografiar-se conduint el vehicle d’empresa en horari laboral sobrepassant el límit de velocitat o publicar una foto a Facebook, identificant-se com treballador de l’empresa, recomanant als seus seguidors no comprar en aquesta empresa.

Delictes. Pujar fotografies a la xarxa pot ser constitutiu de delicte en determinats casos. Els més coneguts són el Cyberbullying (assetjament), Stalking (persecució), Grooming (pederastes a Internet) o Sextorsión (xantatge sexual). Per part de les víctimes existeixen comportaments que, tot i ser innocents, posen en perill la seva intimitat i poden donar peu a ser atacats. Parlen de Oversharing (sobreexposició), Sharenting (sobrecompartició) o Sexting (enviar/rebre fotografies més o menys explícites).

Conseqüències de l’ús indegut. En funció de la naturalesa de la conducta, la gravetat i el seu encaix penal, ens podem trobar des d’una multa fins a una condemna a presó. Per això cal estar molt atent a aquestes “amistats perilloses.

Com sempre, cuideu-vos!

Whatsapp: el cost de fer-ho malament

per

Quan arriba el setembre, els grups de Whatsapp es multipliquen sense control. Començant per les escoles que fan grups de pares (de la classe, de natació, …) fins els grups esportius per jugar a pàdel o a futbol, passant per tota mena de col·lectius (per una boda, per feina, etc.) de lo més variat, tothom s’anima a apuntar-se i apuntar altres als grups. Però com tot, s’ha de fer bé per no patir-ne les conseqüències.

Incloure en un grup a persones sense el seu consentiment pot comportar sancions econòmiques. Això és el que li ha passat a un Club esportiu el qual, en una recent resolució de l’Agencia Espanyola de Protecció de Dades, ha estat sancionat amb una multa de 4.000€ per afegir el número de telèfon d’una usuària a un grup de Whatsapp sense demanar-li autorització.

Un cop captada l’atenció en el titular, convé fer diverses apreciacions sobre la noticia.

Es tracta d’una infracció administrativa que pot ser sancionada amb una multa de fins a 20.000.000€ com a màxim o, tractant-se d’una empresa, de una quantia equivalent al 4% del volum de negocio total anual global de l’exercici financer anterior. L’AEPD però considera graduar la sanció al entendre l’acció ha estat negligent no intencional, però significativa ja que, tot i que la reclamant no es clienta des de fa més de 10 anys, el Club encara conservava les seves dades. El Club hauria d’haver donat de baixa les dades quan va deixar de ser clienta.

A més, l’entitat esportiva ha tractat les dades personals de la reclamant sense el seu consentiment. La llei determina que el tractament només serà lícit si el interessat va donar el seu permís per el tractament específic.

El Club també va cometre dos infraccions més, contra la seguretat del tractament, per no garantir la confidencialitat de les dades, com a conseqüència d’unes mesures de seguretat (tècniques y organitzatives) inadequades.

Per cada una de les infraccions, l’AEPD imposa una sanció de 1.000€ que fa un total de 4.000€.

Aprofitem per recordar, i per estalvia ensurts, que la normativa no s’aplica al tractament de dades personals dut a terme per una persona física en l’exercici d’activitats exclusivament personals o domèstiques (per exemple, grup per celebrar un aniversari o una reunió d’antics alumnes creat per un pare o un ex-alumne). Com que no sempre les distincions són clares, recomanem, en cas de dubte, fer una consulta prèvia. Val més això que no lamentar-nos posteriorment.

I recomanar, com sempre, fer les coses bé perquè hem de mesurar les conseqüències no tan sols en termes econòmics, que també, sinó en termes reputacionals que sempre són més onerosos per el professional o l’empresa.

Cuideu-vos!

Facebook? Quina sorpresa!

per

Frances Haugen, de 37 anys, que treballava com a responsable de producte a l’equip d’integritat cívica de Facebook, va ser entrevistada diumenge per CBS. Va dir que els documents que va filtrar demostraven que Facebook prioritzava repetidament el “creixement per sobre de la seguretat”. Facebook va dir que les filtracions eren enganyoses i que havien passat per alt les investigacions positives realitzades per la companyia.

Com diu el titular, quina sorpresa! Ja fa molts anys que FB és font de controvèrsies per les seves pràctiques que es poden qualificar, com a poc, de fosques o de delictuoses directament. Recordem el famós escàndol de Cambridge Analytica amb l’ús d’informació de milions d’usuaris sense el seu consentiment per comercialitzar-los il·legalment amb tercers. Des de tractar a les personalitats de manera diferent segons biaixos interessats fins a ser acusat de donar una resposta “feble” a les preocupacions dels seus treballadors sobre el tràfic de persones, passant per afrontar demandes dels seus propis accionistes o fer-se autopublicitat a través dels feeds de notícies dels usuaris per millorar la seva imatge, tot són exemples de mala praxis com poc. Whatsapp, compartint informació dels usuaris amb FB, i Instagram acusada per les adolescents de fer-les sentir malament amb el seu cos, tampoc se’n lliuren.

I, mentrestant, el penúltim ensurt l’hem patit aquesta mateixa setmana amb la caiguda simultània de tota la xarxa de FB (a més de FB, van caure Whatsapp, Instagram, Messenger i Oculus) i la interrupció dels serveis que ha afectat a milions d’usuaris. Fins i tot a treballadors de FB que no es podien comunicar entre ells i que van tenir que fer servir eines alternatives de la competència. Estar clar que  això deu ser una qüestió del karma. No hi pot haver-hi un altre.

I deia penúltim ensurt perquè, i no ha acabat la setmana, ahir es publicaven informacions que asseguren que estan a la venda dades personals de més de 1.500 milions d’usuaris de FB en fòrums de hackers. Si la noticia es confirma, sempre convé ser cautelós amb aquest tipus d’informació, definitivament, aquesta no és la setmana de Marck Zuckerberg.

A propòsit de tot això, podem fer un parell de reflexions sobre la marxa. La primera, obvia, és que el model de negoci de FB necessita regular-se. Sembla evident que l’autoregulació per part de les big-tech (no parlem sols de FB) no funciona. Aquestes companyies han experimentat, en vint anys, uns creixement exponencials que els hi ha proporcionat uns poders i una influència (sobre usuaris, empreses i, fins i tot, governs) extraordinaris, sustentats amb uns rendiments econòmics fabulosos. No havia estat mai a l’abast de ningú poder dirigir-se simultània i instantàniament a milers de milions d’habitants amb qualsevol missatge sense cap trava. I, a més, poder fer amb les dades personals, literalment, el que els hi interessi en cada moment. No és fàcil però convé que posem peu a paret lo abans possible.

La segona reflexió, també obvia, és que, en aquest estat de la qüestió i a tall individual, hem de posar els nostres mitjans per preservar la nostra privacitat. Conductes adequades, protocols, eines i tot allò que estigui al nostre abast ho hem de posar en marxa per el nostre compte.

Com sempre, cuideu-vos!

Videovigilància, acomiadament i protecció de dades

per

En una recent sentència, el Tribunal Suprem ha admès que un acomiadament es provi amb un vídeo que vulnera la protecció de dades. El Suprem  afirma que la gravació pot ser admissible en un procediment laboral encara que en un altre procediment s’estableixi que atenta contra la normativa de privacitat. Aquesta diferenciació té importants conseqüències, com veurem a continuació.

El cas es va donar quan una empresa de seguretat va acomiadar a un guàrdia de seguretat per transgressió de la bona fe contractual, frau, abús de confiança i deslleialtat al no dur a terme les tasques encomanades (revisió de vehicles a l’entrada del recinte) per l’empresa i firmar i lliurar els registres diaris com que efectivament s’havien fet.

Segons la resolució coneguda dies enrere,  el que és rellevant és que el treballador coneixia la existència del sistema de videovigilància i que la gravació és vàlida com a prova, sense perjudici que l’empresa pugui tenir altres responsabilitats en l’àmbit de la normativa de protecció de dades. En conseqüència, el Suprem obliga a repetir el judici en el que les imatges no van ser admeses com a prova.

La Sala de lo Social del Suprem recorda que l’article 89.1 de la Llei Orgànica 3/2018, de 5 de desembre de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) estableix que, en el supòsit de comissió flagrant d’un acte il·lícit per part del treballador, i seguint la sentència del TEDH coneguda com López Ribalda II, s’entendrà complert el deure d’informar quan existeixi un dispositiu informatiu amb dades pertinents i clarament visible. No és obligat especificar “la finalitat exacte que s’ha assignat al control en qüestió”.

A l’empresari, però, és a qui li correspon aportar les proves necessàries per demostrar la veracitat dels fets imputats a la carta d’acomiadament. En aquesta línia, el Suprem afegeix que, d’acord amb l’article 24.2 de la Constitució, l’empresari té dret a utilitzar “els mitjans de prova pertinents per a la seva defensa”.

Diu també la sentencia que el fet que les càmeres fossin de Ifema i no de Securitas pot ser rellevant des del punt de vista de la protecció de dades però no ha de portar a impedir que Securitas aporti en un judici laboral unes gravacions que poden ser necessàries per satisfer la càrrega de la prova que sobre ella recau.

En aquest cas, el Suprem entén que la prova era “una mesura justificada, idònia, necessària i proporcionada al fi perseguit” satisfent així les exigències de proporcionalitat que imposen la jurisprudència del constitucional i el TEDH.

Per tot l’exposat, el Suprem admet el recurs de cassació plantejat per l’empresa i torna l’assumpte al jutjat de lo Social que va resoldre en primera instància, manant que celebri un nou judici admetent les gravacions com a prova.

Aquesta resolució obre una porta interessant quan assegura que “el nostre examen s’ha de cenyir a si la prova s’havia d’admetre o no, sense que hagi d’estendre’s a si es van complir tots els requeriments de la legislació de protecció de dades, tant des de la perspectiva de la relació de l’empresa amb el treballador acomiadat, com de la relació entre Securitas i Ifema”.

Com sempre, cuideu-vos!

És obligatori contestar a les demandes d’ocupació?

per

Estem en unes circumstàncies econòmiques que fa que les demandes d’ocupació siguin força elevades. Les empreses reben un número creixent de currículums, molts d’ells no sol·licitats, que s’han de gestionar, entre altres, des del punt de vista de la Protecció de Dades. Arrel d’una resolució de l’AEPD, avui ens ocupem d’un d’ells: l’obligatorietat de l’empresa d’informar sobre què farà amb el CV.

Fins ara, no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals és un pràctica habitual en les empreses per diferents raons: falta de protocols, de informació, desinterès o, simplement, saturació de feina.

Però aquesta situació pot canviar radicalment perquè l’Agència Espanyola de Protecció de Dades (AEPD) acaba de sancionar a una empresa amb 2.000€ de multa per no identificar de forma apropiada al responsable del tractament, ni comunicar al candidat la possibilitat d’exercir els seus drets davant el responsable del tractament  ni la destinació que s’anava a donar a les seves dades. A més, l’entitat reclamada no disposa de Delegat de Protecció de Dades (DPD).

El tràmit es va efectuar per WhatsApp, la qual cosa en posa en alerta perquè quan obrim un canal de comunicació nou, com pot ser un sistema de missatgeria front al convencional correu electrònic, hem de ser curosos e implantar un protocol a l’empresa que tingui en compte les particularitats i especificacions del canal per evitar sorpreses posteriors. En el present cas, el candidat va contactar per telèfon i va remetre el CV per WhatsApp, sense rebre justificant de recepció.

El candidat va remetre a l’AEPD les captures de pantalla amb els missatges intercanviats per WhatsApp, en les que no apareix cap informació relativa al tractament de les dades. L’empresa reclamada no va procedir a presentar al·legacions ni proves en el termini d’audiència per la qual cosa l’Agència va continuar amb el procediment.

L’AEPD considera que s’ha infringit l’article 13 del RGPD que fa referència a la informació sobre el tractament que s’ha de facilitar als interessats quan les dades personals provenen d’ell mateix, així com la resta de informació necessària per garantir un tractament de dades lleial i transparent.

 Un altre dia parlarem de la resta d’obligacions que tenim envers els candidats com la manera i el temps de conservació dels currículums i dels protocols que l’empresa ha de tenir implantats per donar resposta a les candidatures. Però el que ens ha de quedar clar és que hem d’estar ben assessorats i complir amb les nostres obligacions. D’altre manera, podem ser sancionats i, els que és pitjor, patir una pèrdua reputacional que pot costar molt de recuperar. 

Mentrestant, cuideu-vos! 

I les contrasenyes?

per

A propòsit d’una recent resolució de l’AEPD en la que apareix com indicador d’un ús no diligent de les seves claus per part d’un usuari, escrivim aquest post. El cas és que les claus van aparèixer en el lloc web haveibeenpwned.com. En la resolució s’al·lega que el reclamant és un exponent d’acreditada escassa diligència en la gestió i custòdia de les seves credencials.

Podríem traduir lliurement del anglès el terme “pawned” com “compromès”. El lloc web ofereix un servei gratuït perquè l’usuari pugui comprovar si la seva direcció de correu electrònic o contrasenyes apareixen en les seves llistes i, en conseqüència, si les seves claus han estat compromeses y convé canviar-les immediatament.

Perquè són importants les contrasenyes?

Accés a la gestió de la informació, utilització de serveis com la banca online o compres per internet són tres exemples quotidians en els que fer servir contrasenyes adequades resulta imprescindible.

Si poden suplantar la nostra identitat, poden tenir accés a la nostra informació confidencial (per exemple, l’emmagatzemada en el cloud amb documents, fotos y vídeos, etc.), entrar en el nostre compte bancari (amb conseqüències imprevisibles) o fer compres importants que haurem de pagar nosaltres.

Què hem de fer?

La majoria de consells que es poden donar són de sentit comú. Sobretot, d’allò que no s’ha de fer. Post-it en el monitor, sota el teclat, llibretes amb llista de claus, … són pràctiques que ja fa temps haurien d’estar desterrades.

En qualsevol cas, convé insistir.

  • No compartir la contrasenya amb ningú
  • Contrasenyes robustes (al menys 8 caràcters, majúscules, números, símbols, …
  • No fer servir la mateixa contrasenya en diferents serveis. Per exemple, la del banc i la de Facebook.
  • No entrar en un servei amb el compte de Google o FB. Si aquest es veu compromès, l’atacant tindrà accés a tots els serveis que depenen d’aquest compte. I de molts altres perquè, estigueu segurs, ho provaran amb tots.
  • Compte amb les preguntes de seguretat. Mira que només tu coneguis la resposta (i que no es pugui deduir de les teves xarxes socials: data de naixement, nom de la mascota, etc.)
  • Fer servir sempre que sigui possible el doble factor d’autenticació (2FA).
  • Utilitzar gestors de contrasenyes. Hi ha moltes opcions en el mercat a preus molt assequibles

Què passa si el nostre compte apareix a haveibeenpwned.com?

Doncs que òbviament estem en una situació compromesa i hem d’actuar immediatament.

Primer identificant els correus i contrasenyes que han estat exposats. A continuació, fent servir un gestor, generar contrasenyes fortes i diferents per tots els serveis compromesos, començant per els més crítics (primer el banc abans que el FB) i canviar-les totes.

Cuideu-vos!

Les cookies, bé. I la resta?

per

Ja em parlat en diverses ocasions del tema de les cookies. Cal entendre que a aquestes alçades ja sabem como ha de funcionar la solució que tenim que implementar perquè l’usuari pugui fer efectiu el seu dret de conèixer i triar les cookies que vol instal·lar en el seu ordinador. Però, i la resta?

Doncs sí, la solució de cookies per la nostra web és condició necessària però no suficient. I no ho és perquè la web necessita altres texts legals per complir amb la normativa de protecció de dades i, molt important, requereix que l’empresa estigui adequada al RGPD i a la LOPDGDD.

És clar que la web és la part visible de l’empresa i que els texts legals que hi apareixen es poden veure i valorar per persones externes a l’empresa. El primer col·lectiu que ho fa és el de clients i usuaris. I no és l’únic: empleats, accionistes, proveïdors, competència, administracions públiques i tots els grups d’interès que envolten a l’empresa també ho fan. I, naturalment, les autoritats de control en protecció de dades i de l’àmbit mercantil, entre altres, també veuen i revisen les nostres pàgines legals.

Aquí també, torna a ser condició necessària però no suficient el disposar dels texts legals sense que l’empresa estigui adequada. És més, si l’empresa no està adequada, no es poden generar els texts legals perquè, simplement, estaríem cometen un frau.

I aquesta situació de frau és més freqüent del que sembla. Des de copiar i enganxar texts legals d’una altre empresa a generar texts amb aparença de legalitat, el ventall de solucions fake que es fan servir són molt variades.

El camí correcte, per tant, és adequar l’empresa a la normativa de protecció de dades (RGPD i LOPDGDD) per, a continuació, generar els texts legals, incloent aquells que depenen de la LSSICE.

I que cal fer per adequar la nostra empresa a la normativa? Sense pretendre fer una llista exhaustiva de les tasques a dur a terme, hauríem de començar per una Auditoria que valori la situació inicial (descobriment de dades, mesures de seguretat, anàlisis de riscos, …). La segona fase consistiria en definir el Registre d’Activitats (RAT), establir l’Estructura tècnica i organitzativa, implementar les Mesures de Seguretat, dissenyar els contractes amb Intervinents de tractament (empleats, tercers, …) i generar tota la Informació i Comunicació dels tractaments necessària des de Clàusules de Personal, Tractament o Internet –tests legals– entre molts altres, fins a la redacció dels Informes Reglamentaris, Protocols d’Actuació i de Tractament, sense oblidar la important gestió de l’exercici de Drets.

I les avantatges? Ser més transparent, generar confiança i, per tant, més negoci de qualitat. I, per descomptat, evitar sancions econòmiques i, sobretot, la pèrdua de reputació que, en molts casos, pot ser irreversible.

En tots els casos, l’adequació només comporta beneficis. I deixar-ho en mans de professionals ens permet poder centrar-nos en l’important: el nostre negoci. I tenir la satisfacció de fer les coses ben fetes.

Cuideu-vos!

Tres anys ja de RGPD

per

Aquesta setmana s’han complert tres anys des de que el Reglament General de Protecció de Dades va entrar en aplicació. Repassem en aquest post algunes de les fites més importants i farem una mica de balanç que, com sempre, tindrà llums i ombres.                                

El RGPD va entrar en vigor el 2016 però, gràcies a una moratòria, la seva aplicació no va a començar fins al maig de 2018. No és que la Protecció de Dades personals fos una novetat al nostre país, la LORTAD és de 1992 i la LOPD de 1999, però no cap dubte que va suposar un canvi de paradigma en el tractament de les dades personals per part de les empreses. Molts van descobrir, a partir d’aquell moment, el dret fonamental a la privacitat o, el que és el mateix, garantir a les persones el control sobre les seves dades personals .

Ara parlem d’un model preventiu (no reactiu per denúncies) amb responsabilitat proactiva, on s’ha establert la privacitat per defecte, des del disseny, i tot l’enfocament de les obligacions dels responsables s’ha de fer basat en l’enfocament del risc.

Consentiment reforçat, noves clàusules informatives, nous contractes d’encarregat de tractament, mesures de seguretat (violacions de seguretat), nous drets dels interessats i figures com el Delegat de Protecció de Dades són algunes de les novetats que ens va portar el RGPD i que ja a hores d’ara ens resulten, a més de familiars, imprescindibles en el nostre dia a dia en la matèria.

I les sancions, no ens oblidem, són considerables. Espanya és el país que ha imposat fins ara més sancions a Pimes, encara que, val a dir, l’import de la suma de les sancions no és el més elevat comparat amb els altres països. I, com sempre, al marge del aspecte econòmic, el més important té a veure amb la pèrdua de reputació de l’empresa. Aquest és l’intangible més apreciat i que hem de preservar a tota costa.

Aquest temps no ha estat exempt de dificultats. Només cal recordar l’anul·lació de l’Acord Privacy Shield que donava cobertura jurídica a les transferències de dades entre Europa i els Estats Units. O les modificacions en la regulació de les cookies que, encara avui, incompleixen moltes empreses.

I no oblidem la tecnologia que avança de manera espectacular, alhora que les normatives van per darrera dels esdeveniments. Amb la pandèmia hem vist l’auge de la videoconferència o els xats i el teletreball amb les seves dificultats per preservar la privacitat. I altres, com per exemple, el reconeixement facial o de veu, la Intel·ligència Artificial (IA), el Big Data o el Blockchain que estaven a les beceroles o directament no existien quan van començar els treballs del Grup de Treball de l’article 29, allà per el 1996.  

Un balanç, a la fi, prou positiu en general. Però queda molt camí per fer.

Cuideu-vos!

Revisió Texts legals web