Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Netflix: privadesa primer, si us plau!

per

Com deia Tim Cook, CEO d’Apple, en una declaració de 2018, La nostra informació personal, des del quotidià fins al més íntim, s’ha convertit en una arma que s’utilitza contra nosaltres mateixos amb precisió militar. (…) Cada dia, es mouen milers de milions de dòlars i es prenen innombrables decisions sobre la base dels nostres gustos, amics i familiars, relacions i converses, desitjos i pors, esperances i somnis (…) Aquestes dades, inofensives per separat, són acuradament combinades, sintetitzades, analitzades, comercialitzades i venuts. Portat a l’extrem, aquest procés crea un perfil digital permanent de cadascun de nosaltres i permet a les empreses conèixer-nos millor de el que ens coneixem a nosaltres mateixos.” (1)

Ja fa anys que es parla de l’economia de dades i dels nous models de negoci denominats “privacy-first“, es a dir, aquells que avantposen la privacitat i que no requereixen de l’extracció de dades, ja que no monetitzen les dades personals. Ja sabem que no és fàcil per moltes empreses però no tenir molt present la privacitat té consequències.

La DDPA (Dutch Data Protection Authority), Agència neerlandesa de Protecció de Dades, ha proposat una sanció de 4’75M€ a Netflix a causa de la vulneració de certs principis del RGPD.

Arran d’una investigació iniciada el 2019 pel Centre Europeu per a Drets Digitals (NOYB, per les seves sigles en anglès de None Of Your Business), la DDPA ha conclòs que Netflix no oferia als clients informació suficient sobre el tractament de les seves dades personals entre el 2018 i el 2020 i la informació oferta no era transparent.

El Centre Europeu per a Drets Digitals, que és una organització sense ànim de lucre fundada a Viena el 2017, va ser el que va identificar les vulneracions del RGPD de Netflix—en especial, l’article 15—i va advertir l’Autoritat de Protecció de Dades austríaca, la qual va traslladar l’expedient a la neerlandesa, atès que Netflix té la seva seu europea a Països Baixos.

Segons l’Agència neerlandesa, la companyia de streaming no era prou clara en els següents punts:

  1. Base de legitimació per recollir i tractar les dades personals ( 6 RGPD).
  2. Comunicació de dades a tercers.
  3. Període de conservació de dades.
  4. Mesures de seguretat en transferències internacionals de dades.

D’altra banda, quan els usuaris es posaven en contacte amb Netflix per exercir els seus drets en l’àmbit de la protecció de dades, la companyia no oferia respostes clares al respecte.

Si bé la decisió de la DDPA ha estat celebrada per NOYB, Stefano Rosetti, advocat del Centre ha criticat el llarg període de temps—cinc anys—que ha transcorregut per adoptar una postura tenint en compte que «era un cas molt clar».

Netflix va actualitzar la seva política de privacitat el 2020 i ha ampliat la informació oferta als usuaris, però, s’ha oposat a la multa.

NOYB ha iniciat reclamacions similars contra Amazon, Apple Music, Spotify i Youtube. En el cas de Spotify, la IMY (Autoritat de Protecció de Dades sueca) va imposar una multa de 5M€ per vulnerar l’article 15 RGPD.

Per llegir la Resolució, feu clic aquí.

Recordeu, cuideu les dades i cuideu-vos!

(1)  Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.

Límits del control empresarial: Quan registrar un despatx es converteix en delicte

per

El Tribunal Superior de Justícia de Madrid declara que el registre del despatx d’ un treballador acomiadat, sense la seva presència ni la de representants legals ni notari, constitueix una vulneració dels drets fonamentals a la intimitat i a la dignitat.

En la STSJM 383/2024, el Tribunal considera que l’empresa va realitzar un registre del despatx de la treballadora sense les degudes garanties, començant pel fet que es va dur a terme el 22 de desembre de 2022, mateix dia del seu acomiadament.

Si bé l’ empresa va oferir a la treballadora la devolució dels seus objectes personals, el mateix dia va procedir al registre del seu despatx, sense esperar-se a la seva resposta i sense cerciorar-se que la treballadora hagués rebut la carta d’ acomiadament. A més, a banda de realitzar-se sense la presència de la treballadora ni de cap membre del comitè d’empresa ni d’un altre empleat que pogués actuar com a testimoni, es va forçar un armari tancat amb clau i es va accedir a la calaixera de la taula de l’escriptori, en la qual hi havia estris personals i material de treball.

La part demandada al·lega que «l’accés al despatx de la demandant va ser idoni, necessari i proporcionat, per recuperar la documentació confidencial que la treballadora hi deia guardava». El Tribunal, però, indica que «aquesta afirmació no es correspon amb les afirmacions declarades provades, com afirmar que la demandada guardava documentació confidencial i jurídica de la seva propietat al despatx de la treballadora».

El Tribunal recorda que, si bé en l’ art. 20.3 ET s’ atribueix a l’ empresari la facultat d’ adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana, cal tenir en compte que,  en aplicació d’aquesta necessària adaptabilitat dels drets del treballador als raonables requeriments de l’organització productiva en què s’integra, s’ha afirmat que manifestacions de l’exercici d’aquells que en un altre context serien legítimes, no ho són quan el seu exercici es valora en el marc de la relació laboral

En conseqüència, el Tribunal Superior donarà suport a la valoració de la jutjadora d’ Instància i dictamina que aquestes accions no superen el test de proporcionalitat ni idoneïtat exigit per la doctrina del Tribunal Constitucional.

Conclusió

El Tribunal Superior de Justícia de Madrid confirma la sentència d’instància que va declarar la vulneració del dret a la intimitat personal de la treballadora i manté la indemnització de 8.000€ que l’empresa li ha d’abonar per aquesta vulneració. Aquesta decisió subratlla la importància de respectar els procediments adequats i les garanties legals en realitzar registres en els espais de treball dels empleats, especialment en situacions sensibles com un acomiadament.

Pot llegir la sentència aquí.

Com sempre, cuideu les dades i cuideu-vos!

Geolocalització i Privacitat en Màrqueting Mòbil

per

La geolocalització en el màrqueting mòbil ha revolucionat la forma en què les marques interactuen amb els consumidors, oferint experiències personalitzades basades en la ubicació. No obstant això, aquest avenç tecnològic planteja importants desafiaments quant a la privacitat i la protecció de dades dels usuaris. L ‘ equilibri entre la personalització i la protecció de dades en estratègies basades en ubicació és un tema destacat en el màrqueting digital actual.

Beneficis de la geolocalització en màrqueting mòbil

La geolocalització permet a les marques oferir contingut i ofertes altament rellevants basades en la ubicació de l’ usuari. Això pot millorar significativament l’ experiència del client i augmentar l’ efectivitat de les campanyes de màrqueting. Alguns avantatges inclouen:

  1. Ofertes personalitzades en temps real.
  2. Millora de l’ experiència del client en botigues físiques.
  3. Optimització de campanyes publicitàries locals.
  4. Anàlisi de patrons de moviment per millorar estratègies de negoci.
Desafiaments de privacitat

Malgrat els seus beneficis, l’ús de dades de geolocalització planteja serioses preocupacions sobre la privacitat. Els usuaris poden sentir-se incòmodes amb la idea que les empreses coneguin la seva ubicació exacta en tot moment. A més, la recopilació i emmagatzematge d’aquestes dades sensibles augmenta el risc de violacions de seguretat.

Regulacions i compliment normatiu

Per abordar aquestes preocupacions, normatives com el RGPD exigeixen que les empreses obtinguin el consentiment explícit dels usuaris abans de recopilar i utilitzar les seves dades d’ubicació. A més, han de proporcionar informació clara sobre com s’ utilitzaran aquestes dades i permetre als usuaris exercir els seus drets sobre ells.

Estratègies per equilibrar personalització i privacitat
  1. Transparència i control de l’ usuari:
    • Ser completament transparent sobre quines dades es recopilen i com s’utilitzen.
    • Oferir als usuaris control granular sobre les seves preferències de privacitat.
  2. Minimització de dades:
    • Recopilar només les dades estrictament necessàries per proporcionar el servei.
    • Utilitzar tècniques d’ anonimització i agregació de dades quan sigui possible.
  3. Consentiment explícit i revocable:
    • Obtenir el consentiment clar i específic dels usuaris abans d’ utilitzar les seves dades d’ ubicació.
    • Permetre als usuaris revocar fàcilment el seu consentiment en qualsevol moment.
  4. Seguretat robusta:
    • Implementar mesures de seguretat avançades per protegir les dades de geolocalització.
    • Realitzar auditories regulars de seguretat i privacitat.
  5. Personalització contextual:
    • Utilitzar la geolocalització de manera contextual, oferint valor real a l’ usuari en moments rellevants.
    • Evitar l’ ús excessiu o intrusiu de les dades d’ ubicació.
  6. Educació de l’ usuari:
    • Informar els usuaris sobre els beneficis de compartir la seva ubicació i com es protegeixen les seves dades.
    • Proporcionar recursos educatius sobre privacitat i seguretat.
Implementació ètica d’ estratègies basades en ubicació
  1. Per implementar estratègies de màrqueting basades en geolocalització de manera ètica, les empreses han de:
  2. Desenvolupar polítiques de privacitat clares i accessibles.
  3. Realitzar avaluacions d’ impacte en la privacitat abans de llançar noves iniciatives.
  4. Formar el personal en pràctiques de privacitat i protecció de dades.
  5. Col·laborar amb experts en privacitat i ètica per garantir el compliment normatiu.
Tendències futures

El futur del màrqueting basat en geolocalització se centrarà en:

  1. Tecnologies de privacitat millorada, com l ‘Edge Computing i la privacitat diferencial.
  2. Més integració de la intel·ligència artificial per oferir experiències personalitzades més precises i menys intrusives.
  3. Evolució de les regulacions de privacitat per abordar els desafiaments emergents en tecnologia de localització.
Conclusió

L’ equilibri entre la personalització i la protecció de dades en estratègies de màrqueting basades en geolocalització és un desafiament continu però molt important.

 Les empreses que aconsegueixin aquest equilibri i ofereixin experiències personalitzades mentre respectin i protegeixin la privacitat dels usuaris estaran més ben posicionades per guanyar la confiança dels consumidors i destacar en un mercat cada vegada més competitiu i regulat.

La clau està en adoptar un enfocament centrat en l’usuari, en el qual la transparència, el control i l’ètica siguin els pilars fonamentals de qualsevol estratègia de màrqueting basada en ubicació.

Com sempre, cuideu les dades i cuideu-vos!

L’AEPD frena a SEAT: Lliçons d’una política de cookies defectuosa

per

L’AEPD ha proposat una sanció de 20.000€ a SEAT, S.A. per incompliments relacionats amb la protecció de dades personals, concretament, en la gestió inadequada de les cookies.

En una inspecció d’ofici duta a terme per l’Agència, sense mediar reclamació prèvia, es va observar que la pàgina web de SEAT utilitzava cookies la naturalesa de les quals no era tècnica i sense consentiment de l’usuari. La pàgina web activava cookies de funcionalitat i segmentació (com cookies de YouTube per a seguiment de preferències de vídeo i publicitat) sense que l’usuari hagués donat el seu consentiment explícit, la qual cosa incompleix l’exigència de recaptar el consentiment de l’usuari abans d’instal·lar qualsevol cookie no tècnica.

D’altra banda, tot i que les cookies sí que es podien gestionar des de l’accés a la política de cookies instal·lada al web de SEAT, no podien eliminar-se, si es desitjava, un cop acceptades.

«No és possible modificar el consentiment prestat a la utilització de cookies de naturalesa no tècniques o necessàries. Doncs, encara que s’opti per rebutjar ara totes les cookies, es comprova que les cookies instal·lades quan es va prestar el consentiment segueixen presents al navegador», indica l’AEPD.

Com que la revocació del consentiment no era efectiva, ja que les cookies no tècniques romanien actives i seguien enviant informació després que l’usuari intentava desactivar-les, l’AEPD va determinar una sanció de 20.000€, que va quedar reduïda a 12.000€ per reconeixement de la infracció i pagament voluntari.

Quines mesures hem de tenir implementades a la nostra pàgina web per assegurar-nos que no ens passa el mateix?

Mesures a implementar

  1. Obtenció del consentiment previ
  2. Mecanisme efectiu de retirada del consentiment
  3. Revisió de la classificació de cookies
  4. Millora del panell de control de cookies
  5. Actualització de la política de cookies

Implementació tècnica

  • Bloqueig de cookies no essencials
  • Sistema de gestió de consentiment
  • Eliminació efectiva de cookies

Consideracions addicionals

  • Realitzar auditories periòdiques per assegurar el compliment continu de la normativa.
  • Formar el personal tècnic i legal sobre els requisits de la LSSI en matèria de cookies.
  • Considerar la implementació d’una solució de Consent Management Platform (CMP) que compleixi amb els estàndards actuals de privacitat.

En implementar aquestes mesures, complirem amb l’ article 22.2 de a LSSI-CE i evitarem possibles sancions.

 Per llegir la Resolució, feu clic aquí.

Com sempre, cuideu les dades i ¡cuideu-vos!

Drets digitals dels menors i màrqueting responsable

per

En un món cada vegada més digitalitzat, el màrqueting dirigit a menors ha cobrat una rellevància significativa, ja que la tecnologia està a l’abast de les persones cada vegada a una edat més primerenca. Per això, s’ ha manifestat la necessitat d’ implementar regulacions estrictes i estratègies responsables per protegir aquest grup vulnerable. Les noves normatives i pràctiques busquen equilibrar la influència del màrqueting digital mentre s’assegura el benestar i la seguretat dels menors.

Regulacions recents en màrqueting dirigit a menors

La Unió Europea ha estat pionera a establir regulacions que protegeixen els menors en l’entorn digital. La Llei de Serveis Digitals (DSA, per les seves sigles en anglès) és un exemple clau, ja que prohibeix la publicitat basada en perfils per a menors i obliga les plataformes en línia a avaluar els riscos sistèmics que puguin afectar els drets i el benestar mental dels infants.

D’altra banda, a Espanya, s’ha aprovat justament aquest any el Reial Decret d’«Usuaris d’Especial Rellevància», que obliga els influencers a etiquetar contingut per edats i prohibeix la promoció de productes com tabac o alcohol, assegurant que no es causi dany psicològic o físic als menors.

Estratègies de màrqueting responsable

1. Transparència i veracitat

L’ètica en la publicitat exigeix que les marques siguin transparents i veraços en les seves comunicacions. Això implica presentar informació precisa sobre productes i serveis, evitant afirmacions enganyoses que puguin erosionar la confiança del consumidor. Les campanyes han de ser clares sobre la seva naturalesa publicitària, especialment quan s’ adrecin a menors.

2. Inclusió i diversitat

Les estratègies de màrqueting responsable també promouen la inclusió i diversitat. Per això, és fonamental que les campanyes reflecteixin una varietat de cultures i contextos perquè tots els infants se sentin representats. Això no només millora la percepció de marca, sinó que també fomenta un entorn més inclusiu.

3. Ús ètic dels influencers

L’ ús d‘ influencers infantils requereix un enfocament ètic. Les marques s’ han d’ assegurar que aquests influencers promoguin productes adequats per a la seva audiència i compleixin amb les regulacions pertinents. A més, han d’ evitar qualsevol contingut que pugui explotar la inexperiència o credulitat dels menors.

4. Contingut educatiu i entretingut

El contingut adreçat a menors ha de ser tant educatiu com entretingut. Les campanyes efectives utilitzen elements lúdics per captar l’atenció mentre transmeten missatges positius o educatius. Això no només ajuda a mantenir l’interès de l’infant, sinó que també contribueix al desenvolupament cognitiu.

Reptes actuals

Malgrat les regulacions i estratègies responsables, hi ha desafiaments significatius:

  1. Adaptació tecnològica: La ràpida evolució tecnològica requereix una constant actualització de les normatives per abordar noves formes de publicitat digital.
  2. Compliment global: Les diferències entre les legislacions nacionals i internacionals compliquen el compliment uniforme per part de les empreses globals.
  3. Equilibri entre creativitat i regulació: Les marques han de trobar un equilibri entre ser creatives i innovadores en les seves campanyes mentre compleixen amb les regulacions estrictes.

Conclusió

El màrqueting dirigit a menors és un camp delicat que requereix una atenció meticulosa tant des del punt de vista legal com ètic. Les recents regulacions busquen protegir els menors mentre permeten que les marques continuïn interactuant amb aquest públic de manera responsable. A mesura que avança la tecnologia, serà crucial que les empreses continuïn adaptant-se per garantir pràctiques publicitàries segures i efectives. En fer-ho, no només compliran amb les normatives vigents, sinó que també contribuiran al desenvolupament positiu de l’ entorn digital per a les generacions futures.

Com sempre, cuideu les dades i cuideu-vos!

La protecció de dades personals i la publicitat dirigida: la decisió del TJUE contra Meta

per

El passat 4 d’octubre, el Tribunal de Justícia de la Unió Europea (TJUE) va fallar a favor de l’activista austríac Max Schrems en la seva disputa legal actual contra Meta Platforms, la companyia de Facebook (Assumpte C-446/21, Schrems v. Meta). Schrems havia interposat una demanda en un tribunal d’Àustria, argumentant que Meta havia dirigit anuncis basats en la seva orientació sexual a través de publicitat personalitzada, processant així les seves dades personals.

Aquest dictamen resulta rellevant quant als límits del tractament de dades personals per part de les xarxes socials, específicament en l’ àmbit de la publicitat personalitzada. Aquest veredicte no només reforça la importància de la protecció de la privacitat en l’entorn digital, sinó que també delimita clarament com les plataformes han de gestionar les dades dels seus usuaris.

Si bé és cert que Schrems mostra de forma pública la seva orientació sexual, això no legitima a Facebook l’utilitzar aquesta informació, juntament amb altres dades, per dirigir-li anuncis personalitzats. És important que reflexionem sobre els límits d’ús de les nostres dades. En aquesta era de digitalització, les dades—les nostres dades—circulen a velocitat vertiginosa. Tot i ser una cosa intangible, no podem oblidar que la seva transportabilitat és una característica ideal perquè les empreses comercialitzin amb ells. Evidentment, hem d’establir límits clars per protegir la nostra intimitat.

En el cas de Schrems, Meta s’ha justificat al·legant que els usuaris comparteixen informació sobre si mateixos en diverses plataformes i que això permet a l’empresa generar perfils detallats per oferir publicitat més rellevant. No obstant, Schrems mai havia compartit directament dades sobre la seva orientació sexual a Facebook, per la qual cosa els anuncis que rebia no estaven basats en informació publicada explícitament en el seu perfil, sinó en l ‘anàlisi dels seus interessos. Aquí és important destacar que Meta recull les dades personals dels usuaris de Facebook referides a les seves activitats tant en aquesta xarxa social com fora d’ella, com pàgines d’Internet i d’aplicacions de tercers.

Els límits del tractament de dades

Cal recordar que, segons el principi de minimització de dades, el tractament de les dades personals dels usuaris ha de ser mínim (art. 5.1.c) RGPD). L’ aplicació d’ aquest principi, per tant, hauria de restringir l’ ús de dades personals per oferir publicitat personalitzada. Tanmateix, Meta i moltes altres empreses es limiten a ignorar aquest precepte… ¿Vol dir això que les nostres dades personals es poden utilitzar de forma indefinida amb finalitats publicitàries? Després d’aquesta sentència, només una part de les dades emmagatzemades per les empreses podran utilitzar-se amb finalitats publicitàries, fins i tot quan els usuaris donin el seu consentiment.

El Tribunal ha subratllat la necessitat de les empreses de diferenciar entre els diferents tipus de dades i respectar la sensibilitat i el consentiment dels usuaris en tractar informació personal.

Amb aquesta sentència, el TJUE reafirma el seu compromís amb la protecció dels drets dels ciutadans europeus davant els gegants tecnològics, en particular amb relació a la publicitat dirigida. Les plataformes digitals hauran de reconsiderar com manegen l’agregació de dades dels usuaris, i com aquestes dades poden ser utilitzades per personalitzar els anuncis sense violar els drets de privacitat.

Conclusió

La sentència del TJUE contra Meta és una fita en la defensa de la privacitat de les dades en el món digital. En un entorn on cada vegada més informació personal és recopilada i processada, aquesta decisió destaca la necessitat de garantir que les empreses tecnològiques respectin els drets dels usuaris, fins i tot quan aquestes comparteixen certes dades públicament. Les xarxes socials i altres plataformes s’ han d’ alinear amb els principis establerts pel RGPD i assegurar-se que el tractament de dades sigui transparent, proporcionat i, sobretot, respectuós amb els drets fonamentals de les persones.

Com sempre, cuideu les dades i ¡cuideu-vos!

Més enllà del “Cosmetic compliance”

per

A l’àmbit empresarial, complir amb les normatives i regulacions és fonamental no només per evitar sancions, sinó també per construir una reputació sòlida i confiable. No obstant això, existeix un fenomen preocupant conegut com a “cosmetic compliance” o “compliment cosmètic“, que es refereix a pràctiques superficials destinades a aparentar conformitat amb les lleis i regulacions sense realment adherir-s’hi. Aquest concepte, prestat dels programes de Compliance Penal, és especialment rellevant també en l’àrea de protecció de dades, on el compliment efectiu és crucial per protegir la privacitat i la seguretat de la informació personal.

En el context de la protecció de dades, el “cosmetic compliance” pot manifestar-se de diverses formes. Per exemple, una empresa pot dissenyar polítiques de privacitat detallades i completes, però si no s’implementen de manera efectiva o si els empleats no estan adequadament capacitats per seguir aquestes polítiques, la conformitat és només superficial.

Una altra manifestació d’ aquesta pràctica és la utilització de tecnologies avançades per a la protecció de dades, sense configurar correctament aquestes eines o sense integrar-les adequadament en els processos operatius de l’ empresa. Això pot crear una falsa sensació de seguretat tant per a l’empresa com per als clients, quan en realitat les dades poden estar en risc.

Com detectar el “Cosmetic Compliance” en Protecció de Dades

Textos Legals Web “copiats i enganxats”

Un dels exemples més comuns de “cosmetic compliance” és l’ ús de textos legals copiats i enganxats d’altres fonts. Moltes empreses copien polítiques de privacitat, termes i condicions, o avisos legals d’altres pàgines web sense adaptar aquests documents a la seva pròpia realitat operativa i regulatòria. Això no només és una infracció de drets d’ autor, sinó que també pot portar a un incompliment real, ja que aquests textos poden no reflectir les pràctiques i necessitats específiques de l’ empresa.

Política de Cookies Irreal

Una altra pràctica comuna és la implementació de polítiques de cookies que no reflecteixen la realitat de les cookies que s’instal·len al navegador del client. Algunes empreses publiquen polítiques detallades sobre l’ús de cookies, però a la pràctica instal·len més cookies de les declarades, o cookies amb finalitats diferents a les anunciades.

Manca de Signatura d’ Acords de Confidencialitat o de Contractes d’ Encarregat de Tractament

L’absència d’acords de confidencialitat o contractes d’encarregat de tractament adequats és un altre senyal de “cosmetic compliance”. Les empreses han d’assegurar que qualsevol tercer que manegi dades personals en el seu nom (com a proveïdors de serveis) estigui legalment obligat a protegir aquesta informació, sense excepció. La manca d’ aquests acords pot posar en risc la seguretat de les dades i contravenir les normatives de protecció de dades.

Manca d’ Implementació de Mesures de Seguretat Efectives

L’ adquisició d’ eines avançades de seguretat sense una integració adequada en els processos operatius és un altre indici. Si una empresa inverteix en tecnologia de protecció de dades, però no configura aquestes eines correctament o no les utilitza de manera coherent amb les seves polítiques, està simplement aparentant compliment.

Auditories Internes Inadequades

Les auditories internes que són infreqüents, superficials o realitzades per personal no qualificat poden ser un signe de “cosmetic compliance”. Les auditories efectives han d’ ésser exhaustives i dutes a terme per professionals capacitats que puguin identificar i corregir deficiències en les pràctiques de protecció de dades.

Conclusió

El “cosmetic compliance” és una pràctica que pot tenir greus conseqüències per a les empreses, tant en termes de sancions econòmiques com de pèrdua de confiança dels clients, entre d’altres.

És molt important que l’ empresa implanti una cultura interna de compliment, no només pel que fa a privacitat, sinó també en les altres àrees de responsabilitat. Això requereix tenir una estratègia i, des de la responsabilitat proactiva i partint dels principis del RGPD de protecció des del disseny i per defecte, la protecció de dades es prepari abans d’ iniciar les activitats i que el tractament estigui configurat per utilitzar únicament les dades personals estrictament necessàries.

I la direcció ha d’ implicar tota l’ empresa en el compliment.

I, com sempre, cuideu les dades i ¡cuideu-vos!

Complir amb la Llei o Córrer el Risc: La Importància de la Protecció de Dades a les Pimes

per

Introducció

En un món digital en constant evolució, la protecció de dades personals ha cobrat una importància sense precedents. L’AEPD, a l’empara del Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD), ha intensificat la seva vigilància i sanció en casos d’incompliment. Les petites i mitjanes empreses (Pimes) no estan exemptes d’aquestes obligacions i enfronten desafiaments significatius que poden tenir conseqüències severes, no només econòmiques sinó també reputacionals. En aquest article, analitzem recents sancions imposades per l’Agència Espanyola de Protecció de Dades (AEPD) amb l’objectiu de conscienciar els empresaris de la rellevància d’un compliment eficaç i responsable.

El Cost de l’ Incompliment: Casos Recents

L’AEPD ha demostrat el seu compromís a fer complir les normatives de protecció de dades, com ho reflecteixen les sancions recents a diverses Pimes. Un cas destacat és el d’una empresa d’Outsourcing que va ser multada amb 365.000 euros per sol·licitar l’empremta dactilar dels seus treballadors sense complir amb els principis de legalitat, consentiment i informació requerits pel RGPD. Aquest cas subratlla la importància de respectar la sensibilitat de les dades biomètriques, considerades categories especials de dades personals sota el RGPD.

Un altre exemple rellevant és el d’un hotel, al qual l’AEPD va imposar inicialment una multa de 40.000 euros per recaptar dades excessives d’un passaport, una pràctica no alineada amb el principi de minimització de dades. No obstant això, després d’una apel·lació, l’Audiència Nacional va reduir la sanció a 15.000 euros, considerant el nivell d’ingressos del negoci i la falta d’intenció en l’incompliment.

Finalment, en un cas ja clàssic, una òptica va ser multada amb 10.000 euros per enviar publicitat a un client sense el seu consentiment previ, infringint la LSSICE que prohibeix les comunicacions no sol·licitades o expressament autoritzades per els destinataris d’aquestes.

Més Enllà de la Multa Econòmica: L’Impacte Reputacional

Aquests casos no només suposen un desafiament financer per a les Pimes afectades, sinó també poden afectar seriosament la seva reputació. La percepció pública d’una empresa es pot deteriorar ràpidament si se’l vincula amb pràctiques irresponsables o il·legals en la gestió de dades personals. El cost reputacional es pot traduir en pèrdua de clients, disminució de la confiança del consumidor i dificultats per atreure inversions.

I això és així perquè les empreses són responsables davant de tots els interessats (empleats, clients, proveïdors, socis, accionistes, inversors, administracions i de la societat en general), i de tota la normativa aplicable a la seva activitat que inclou, naturalment, la protecció de dades.

Conclusió

La protecció de dades personals és un pilar fonamental per a les empreses en l’era digital. Les sancions imposades per l’AEPD no només busquen penalitzar, sinó principalment conscienciar i orientar les empreses cap a un compliment rigorós i conscient. És essencial que les Pimes entenguin i adoptin les mesures adequades per garantir que les dades que gestionen estan protegides adequadament, respectant els drets de les persones.

És important que les Pimes inverteixin en formació i assessoria en protecció de dades. Integrar pràctiques de privacitat des del disseny i per defecte, realitzar revisions de risc o avaluacions d’ impacte periòdiques i mantenir una política de transparència són passos clau per mitigar els riscos de sancions i danys reputacionals.

El compliment de les normatives de protecció de dades no és només una obligació legal, sinó una inversió en la confiabilitat i sostenibilitat de l’ empresa. En educar i aplicar correctament les lleis de protecció de dades, les Pimes no només eviten sancions, sinó que enforteixen la seva reputació i competitivitat en el mercat.

Així que complim, pel bé de tots. I, com sempre, cuideu-vos!!

Quines mesures de seguretat han d’implementar les empreses en relació a la protecció de dades a Espanya?

per

Les empreses a Espanya han d’implementar diverses mesures de seguretat per complir amb la normativa de protecció de dades i garantir la privacitat de les dades personals.

Repassem les mesures principals:

Implementació de polítiques i normatives de seguretat informàtica: És fonamental per protegir els actius digitals i establir els procediments necessaris per prevenir i mitigar els riscos cibernètics.

Conscienciació i formació en ciberseguretat: La conscienciació i formació són aspectes cabdals per promoure una cultura de seguretat en les organitzacions.

Educació i conscienciació constant: És crucial promoure l’educació en ciberseguretat des de l’inici i fomentar la conscienciació contínua en tots els nivells, no només als directius sinó també als empleats de les organitzacions.

Col·laboració public-privada: La cooperació entre el sector públic i privat és essencial per fer front als desafiaments de seguretat digital, compartint informació, bones pràctiques i recursos per enfortir la protecció.

Adaptació a les noves amenaces: Les organitzacions han d’estar preparades per fer front a les noves i sofisticades formes de ciberatacs, actualitzant constantment els seus sistemes de seguretat i adoptant mesures preventives més sòlides.

Rol de la intel·ligència artificial i altres tecnologies emergents en la protecció de dades: La intel·ligència artificial (IA) i altres tecnologies emergents estan desenvolupant un paper cada vegada més important en la protecció de dades. Cal ser capaç d’aprofitar el seu potencial. Formar-se és una obligació.

Identificació de riscos i anàlisis de bretxes de seguretat: La identificació de riscos i l’ anàlisi de bretxes de seguretat són processos fonamentals en el marc de la normativa de Protecció de Dades, tant per garantir la ciberseguretat com per complir amb els requisits de privacitat.

Notificació de bretxes de seguretat: Recordem que s’ha de notificar qualsevol bretxa de seguretat a l’AEPD en un termini màxim de 72 hores.

Mesures tècniques i organitzatives: Implementar mesures de ciberseguretat com l’ ús de programari de protecció, el xifrat de dades o les polítiques adequades d’ autenticació resulten indispensables per al compliment de la Llei.

Polítiques de seguretat i formació en ciberseguretat: La definició de polítiques de seguretat i la formació en ciberseguretat del personal de forma proactiva són mesures organitzatives previstes per la Llei de Protecció de Dades.

Responsable de protecció de dades: Les empreses amb un gran volum de dades —més de 50.000 registres— i aquelles de qualsevol mida que manegin informació com els centres docents, els sanitaris i les empreses de màrqueting, han de comptar amb un responsable de protecció de dades.

Certificat ISO 27001: La certificació ISO 27001 és una garantia per a la seguretat de les dades personals.

Implementació de sistemes d’ auditoria i monitoratge: La implementació de sistemes d’ auditoria i monitoratge capaços de realitzar un seguiment de les activitats relacionades amb el tractament de dades és una mesura de ciberseguretat prevista per la Llei de Protecció de Dades.4

DPD (Delegat de Protecció de Dades): El DPD és un professional que s’encarrega de garantir el compliment de la normativa de protecció de dades a les empreses.

Esquema Nacional de Seguretat: L’Esquema Nacional de Seguretat és un instrument clau per reforçar les capacitats de defensa davant les ciberamenaces sobre el sector públic i les entitats col·laboradores.

Aquestes mesures de seguretat estan dissenyades per protegir les dades personals i garantir la privacitat dels ciutadans, complint amb la normativa de protecció de dades a Espanya i la normativa europea.

No abaixem la guàrdia. Les dades personals no poden estar en risc. Ens hi juguem molt com a empresa i com a persones.

I com sempre, ¡cuideu-vos!

Màrqueting digital i Privadesa: condemnats a entendre’s

per

Introducció

El màrqueting digital ha arribat a un encreuament de camins crític, influenciat per avenços tecnològics i una conscienciació pública creixent sobre la privacitat de les dades. Empreses a tot el món busquen navegar en aquest panorama complex, equilibrant estratègies innovadores de màrqueting amb la necessitat imperant de protegir la privacitat de l’usuari. Aquest equilibri és crucial no només per a la retenció de la confiança del consumidor sinó també per a la conformitat amb regulacions internacionals creixentment estrictes com el RGPD a Europa, la CCPA a Califòrnia i la LGPD al Brasil.

Tendències Actuals en Màrqueting Digital

Les tendències actuals en màrqueting digital destaquen la personalització i automatització, potenciades per la intel·ligència artificial (IA) i el Big Data. No obstant això, aquesta recollida massiva de dades ha disparat les alarmes sobre la privacitat. Un exemple clar és Facebook, que després del famós escàndol de Cambridge Analytica, va reforçar les seves polítiques de privacitat i va revisar les seves pràctiques de recopilació de dades. Tot i així, segueix molt lluny de complir amb els estàndards mínims de privacitat i totes les seves actuacions en aquest sentit aixequen crítiques (l’última, per exemple, “pay or ok” ara mateix sota l’escrutini de l’EDPB –European Data Protection Board). A més, la tendència de bloqueig de cookies per navegadors com Chrome de Google planteja un canvi significatiu, impulsant les empreses a buscar mètodes alternatius de seguiment i anàlisi del comportament de l’usuari.

Desafiaments de Privacitat en el Màrqueting Digital

El principal desafiament actual rau en l ‘equilibri entre personalització i privacitat. La necessitat de transparència i consentiment s’ ha tornat més crítica, com ho demostra l’ aplicació del RGPD, que imposa estrictes regles sobre el consentiment, i la CCPA, que atorga als consumidors californians el dret a conèixer quina informació personal es recopila sobre ells. Empreses com Amazon i Google han hagut d’adaptar les seves pràctiques de màrqueting digital per assegurar-se que estan en plena conformitat, evidenciant la importància de l’adaptació regulatòria en l’estratègia de màrqueting global.

Innovacions Tecnològiques i el seu Impacte

La innovació tecnològica, com el blockchain i la realitat augmentada, presenta tant oportunitats com desafiaments. Per exemple, el blockchain pot oferir una nova forma de seguretat i transparència permetent als usuaris controlar i monitoritzar qui accedeix a la seva informació. No obstant això, tecnologies com la realitat augmentada, utilitzada per marques com IKEA en la seva aplicació IKEA Place, plantegen preguntes sobre la recol·lecció de dades sensibles de localització i preferències personals. La clau estarà en desenvolupar aquestes tecnologies assegurant que la innovació no comprometi la privacitat de l’usuari.

Estratègies Futures per a la Privacitat i el Màrqueting

Les estratègies futures s’hauran d’enfocar en la privacitat com un pilar fonamental. L’adopció d’un enfocament de “privacitat per disseny“, on la protecció de dades s’integra des de la concepció de productes i estratègies, es tornarà més necessària. Exemples inclouen companyies com Apple, que ha integrat la privacitat en el seu màrqueting i desenvolupament de productes com un avantatge competitiu. A més, el concepte de “zero-party data“, on els consumidors conscientment comparteixen informació a canvi d’un valor clar, guanyarà com a alternativa al seguiment invasiu.

El Paper de la Regulació i l’ Ètica

La regulació seguirà emmotllant el panorama, amb possibles desenvolupaments com una versió estatunidenca del RGPD o actualitzacions a la CCPA. L’ètica en el màrqueting digital es convertirà en un diferenciador clau, on les empreses que adoptin pràctiques transparents i responsables podran destacar-se. L’autoregulació, a través d’iniciatives com el Data Privacy Framework (tercer intent de crear un marc que garanteixi les transferències internacionals de dades personals a USA), també jugarà un paper crucial en la construcció de la confiança del consumidor.

I d’ara endavant?

El futur del màrqueting digital s’haurà de caracteritzar per un enfocament més conscient de la privacitat. Les empreses que aconsegueixin equilibrar la innovació tecnològica amb pràctiques de protecció de dades ètiques i transparents no només s’ adheriran a la regulació, sinó que també fomentaran una relació de confiança amb els seus consumidors. En última instància, l’adaptació i la innovació en el respecte de la privacitat no només és una obligació legal sinó una inversió en la lleialtat i confiança del client a llarg termini. I, en el fons, la qüestió principal: premiar la reputació de les empreses, cosa que és sinònim d’èxit a llarg termini.

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web