Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

La Lliga (LFP) sota Vigilància

per

En una era on la tecnologia s’entrellaça cada vegada més amb la vida quotidiana, la privacitat de les dades s’ha convertit en un tema de discussió fonamental. Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha posat el focus en La Lliga de Futbol Professional (LFP) per l’ús de sistemes de reconeixement facial als estadis. Aquest avís no només ressalta els desafiaments que enfronten les grans organitzacions, sinó que també envia un missatge crucial a les empreses en general sobre la importància de navegar amb cura en el complex món de la biometria i la protecció de dades.

De fet, ja ens referim al tema setmanes enrere quan l’AEDP va publicar la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La publicació va suposar un important canvi de postura de l’ Agència respecte a l’ ús de la biometria en l’ accés i el control laboral.

Reconeixement Facial i Privacitat

El reconeixement facial, una forma de biometria, s’ha utilitzat cada vegada més per millorar la seguretat en llocs públics, incloent estadis esportius. Tot i que aquestes tecnologies ofereixen beneficis significatius en termes de seguretat, també generen preocupacions considerables sobre la privacitat i els drets individuals. L’AEPD ha cridat l’atenció sobre aquest equilibri delicat, emfatitzant la necessitat de complir amb regulacions estrictes, com el RGPD.

La resposta de La Lliga (LFP)

Davant les advertències de l’AEPD, La Lliga ha defensat el seu ús de sistemes de reconeixement facial, argumentant que el seu principal objectiu és garantir la seguretat als estadis.

La Lliga sosté que aquesta tecnologia ajuda a identificar individus que puguin representar una amenaça, com aquells amb prohibicions d’accés o implicats en actes violents previs. Aquesta justificació es basa en la premissa que la seguretat col·lectiva pot requerir mesures més robustes, tot i que intrusives.

 Tanmateix, aquesta posició planteja un important debat: fins on pot arribar una organització en la implementació de tecnologies de vigilància sota la premissa de la seguretat, sense vulnerar els drets individuals de privacitat?

I aquest debat afecta també totes les empreses i organitzacions.

Implicacions per les empreses

A falta de veure com es resol el contenciós entre La Lliga i l’AEPD, i a l’espera de veure si La Lliga és capaç de trobar suport jurídic per a les seves pretensions, les empreses han de ser conscients que qualsevol tecnologia intrusiva, especialment aquelles que processen dades biomètriques, requereix una anàlisi exhaustiva en termes de compliment normatiu, previ a la seva aplicació. És fonamental que les empreses avaluïn no només els beneficis de seguretat i eficiència que aquestes tecnologies poden oferir, sinó també l’ impacte en la confiança i la privacitat dels individus. Adoptar un enfocament transparent i responsable, alineat amb les directrius de l’ AEPD i el RGPD, és essencial per evitar sancions i preservar la reputació de l’empresa.

Conclusió

L’advertència de l’AEPD a La Lliga per l’ús de reconeixement facial en estadis és un recordatori oportú per a les empreses sobre la importància d’equilibrar la innovació tecnològica amb el respecte a la privacitat i la normativa de protecció de dades. Aquest cas subratlla la necessitat d’ un maneig acurat i ètic de tecnologies potencialment intrusives, instant les empreses a considerar no només els avantatges operatius, sinó també les implicacions legals i socials de la seva implementació.

Som a les portes d’una nova edició del Mobile World Congress (MWC) a celebrar a Barcelona. L’any passat van fer un ús intensiu del reconeixement facial per a la gestió de l’accés dels visitants. Veurem quina solució apliquen aquest any.

Mentrestant, cuideu-vos molt!

Fi de l’ús de l’empremta dactilar per l’accés al centre de treball?

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentment una Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La Guia representa tot un repte per a l’ adopció de sistemes d’ identificació biomètrica, ja que l’ AEPD ha revisat els seus criteris i aclarit els requisits essencials per al tractament de dades. I no posa gens fàcil.

Segons el Reglament General de Protecció de Dades (RGPD), les dades biomètriques es consideren una categoria especial de dades quan s’utilitzen per identificar de manera única a una persona. L’AEPD ha aclarit que aquestes dades només es poden processar en circumstàncies excepcionals, com ara amb el consentiment explícit de la persona o si és necessari per al compliment de les lleis laborals o els drets de protecció social i hi ha una base legal per fer-ho.

La Guia indica que les disposicions legals anteriors que es pensava que legitimaven aquests sistemes biomètrics són insuficients, ja que no esmenten expressament el processament de dades biomètriques ni proporcionen les proteccions de privacitat necessàries per als empleats. A més, el consentiment dels empleats tampoc es considera una base vàlida per a la legitimació a causa del desequilibri de poder inherent entre empresaris i empleats.

La conclusió és que esdevé extremadament difícil, si no impossible, utilitzar sistemes d’identificació biomètrica per a aquests propòsits en les empreses, sense una regulació específica europea o espanyola o un acord de negociació col·lectiva que proporcioni normes clares i garanties.

Com a alternatives als controls biomètrics, les solucions podrien incloure mètodes tradicionals com fulls de signatura manuals, targetes clau electròniques, codis PIN o aplicacions mòbils que permeten registres basats en la ubicació. Aquestes alternatives es preveuen menys invasives per a la privacitat, s’alineen amb el principi de minimització de dades del RGPD i encara complir amb els requisits operacionals del lloc de treball.

L’impacte per a les empreses dels nous criteris de l’AEPD en reconèixer la biometria com mancada de legitimació per al tractament de dades és significatiu. Les empreses hauran de reconsiderar l’ús de sistemes de control biomètric, ja que la Guia limita fortament aquestes pràctiques. Sense una base legal específica, consentiment explícit (molt complicat de fer servir en la pràctica per el desequilibri entre empresa i treballador i tenir que superar el judici d’idoneïtat) o acords col·lectius amb garanties adequades, les empreses no podran utilitzar dades biomètriques per a controls de presència o accés.

Tot això pot requerir canvis operatius significatius i, com dèiem, la implementació de mètodes alternatius de control de presència que respectin la privacitat i la protecció de dades dels empleats.  L’Agència, fins i tot, recomana explorar opcions que ni siguin tecnològiques com, per exemple, la utilització de recursos humans. Vaja, posar un vigilant a la porta, com s’ha fet tota la vida. En fi …

D’ara en endavant, no poseu el dit enlloc i cuideu-vos!

Passes en la bona direcció 

per

La protecció de dades és un tema de creixent importància a la societat digital d’avui. Recentment s’han donat diversos desenvolupaments significatius en aquest camp, al marge de l’omnipresent Intel·ligència Artificial de la que cada dia es generen notícies cada cop més preocupants. Es a dir, passes en la bona direcció.

Per exemple, L’Agència Espanyola de Protecció de Dades (AEPD) acaba de publicar una Guia sobre l’ús de sistemes biomètrics per al control d’accés, establint criteris clars per a ús tant en entorns laborals com no laborals. Aquest avenç destaca la necessitat d’equilibrar la seguretat i la privadesa en l’ús de tecnologies avançades. Recordem, a més, que les dades biomètriques són, a criteri del RGPD, de categoria especial d’alt risc, per la qual cosa hem de tenir una cura especial en el seu tractament.

D’altre banda, TikTok s’ha unit al Canal Prioritari de l’AEPD, una mesura que subratlla el compromís de la plataforma amb la protecció de dades dels usuaris. Aquesta col·laboració sorgeix després de l’ordre de l’AEPD de retirar uns 30 continguts amb material sexual i violent el 2023, la qual cosa posa de manifest la responsabilitat de les plataformes digitals en el maneig i la moderació del contingut. L’empresa ha establert, fins i tot, una via de comunicació per atendre amb urgència els requeriments que li traslladi l’AEPD en cas de continguts que posin en risc els drets i llibertats o la salut física o mental de les persones afectades.

A més, la Unió Europea ha prohibit a Meta (Facebook) mostrar anuncis basats en el comportament dels usuaris en plataformes com Instagram i Facebook. Aquesta decisió és un clar exemple de com les regulacions estan evolucionant per protegir millor la privadesa i les dades personals dels usuaris en un entorn digital cada vegada més intrusiu. La Comissió de Protecció de Dades (DPA) ha assenyalat que s’ha de d’imposar una prohibició del tractament de dades personals segons el comportament dels usuaris, una decisió que tindrà efecte en tot l’Espai Econòmic Europeu (EEE).

Aquests casos reflecteixen una tendència global cap a una supervisió i regulació més grans en l’àmbit de la protecció de dades. Les empreses i les organitzacions són cridades a adoptar pràctiques més transparents i responsables en el maneig d’informació personal. Aquest enfocament no només és crucial per salvaguardar la privadesa dels individus, sinó també per mantenir la confiança en l’ecosistema digital.

En resum, la protecció de dades personals s’ha convertit en una prioritat al món digital. Les regulacions i guies recents, com les emeses per l’AEPD i la UE, són passos importants per garantir que els avenços tecnològics no comprometin la privadesa i seguretat dels usuaris. Les empreses i plataformes s’han d’adaptar a aquests canvis, prioritzant la protecció de dades personals en les operacions i estratègies de negoci. Aquestes mesures són fonamentals per construir un entorn digital més segur i fiable per a tothom.

Així que ja ho sabeu, cuideu la vostra privadesa i cuideu-vos!

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

El DNI “i dos ous durs”

per

Recordem la cèlebre frase de Groucho Marx a la pel·lícula “Una noche en la ópera”. En un camarot abarrotat, Groucho fa la comanda de menjar al cambrer i cada vegada afegeix un plat a la llista. Noi, un altre germà, diu: “I també dos ous durs“, i Harpo, el tercer germà mut, fa sonar la botzina per indicar que, en comptes de dos, posi tres ous. I així diverses vegades.

M’he recordat d’aquesta frase en relació a l’Informe 48/2023 de l’Agència de Protecció de Dades del passat setembre, en el qual posa de manifest la decisió de posar fre a la pràctica que les empreses demanin còpies del DNI per identificar els ciutadans per qualsevol qüestió. És un costum arrelat que empreses i Administració demanin tota sort de documentació al ciutadà i a més “també còpia del DNI” (si és possible per les dues cares).

Existeix una tradició heretada de la derogada Llei Orgànica de 1999, que establia com a procediment oficial per a l’exercici de drets l’obligatòria entrega d’una còpia del DNI (o NIE o document equivalent). Aquesta pràctica segueix duent-se a terme sense que ningú se la qüestioni perquè “sempre s’ha fet així” i perquè sembla que ofereixi més seguretat al tràfic jurídic.

En el seu Informe, l’ AEPD considera que l’ ús de DNI pot resultar excessiu o directament innecessari per complir amb la finalitat d’ identificació.

Quins problemes planteja?

El número del DNI no és una dada de categoria especial però sí que és una dada sensible, ja que el seu mal ús o abús pot generar efectes desfavorables per al seu titular.

La suplantació d’identitat és un perjudici molt habitual ja que poden realitzar-se moltes gestions com donar d’alta contractes o comptes corrents, registrar-se en llocs web de pornografia o joc online, fins i tot, demanar un duplicat de la targeta SIM.

I també suposa un repte de seguretat de la informació per a les empreses que realitzen els tractaments perquè han d’emmagatzemar els DNIs, en format analògic o digital, i assegurar la seva transmissió a tercers. Per a companyies que manegen cents de milers de documents, fins i tot de milions, a l’any, no és un problema menor. Una bretxa de seguretat en aquests casos pot ser devastadora per a la seva reputació, sancions al marge.

Què és el principi de minimització?

Està consagrat a l’article 5.1.c) “Les dades personals seran adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades («minimització de dades»). És a dir, només podem tractar com a responsable únicament aquelles dades que són estrictament necessàries per a la finalitat perseguida.

Què diu l’Agència?

L’ Agència parteix de recordar el principi de responsabilitat proactiva, que recull el RGPD, de manera que cada responsable haurà de valorar els casos d’ ús concrets que se li presentin, i fer judicis de ponderació si fos necessari, i veure si és procedent o no demanar el DNI o tractar el número o guardar una còpia per als seus registres. I, si cal demanar-ho, quines mesures de protecció especial s’han d’aplicar.

I en l’Informe, l’Agència exposa uns criteris generals com que la sol·licitud del número o còpia del DNI no es pot instaurar per defecte i que cal analitzar cada supòsit concret.

I tampoc es pot demanar una còpia del DNI per a l’ exercici de drets per part de l’ interessat.

Com en tot, hi ha excepcions. Per exemple, es pot demanar el DNI per complir amb la normativa en les activitats de prevenció del blanqueig de capitals i el finançament del terrorisme perquè la llei l’empara.

Sancions

Les sancions són cada vegada més freqüents i d’ import més elevat. Missatgeria (per fotografiar el DNI), hotels i plataformes com AirBnb (per demanar còpia per fer la reserva), entitats bancàries per demanar el DNI per fer un tràmit i, fins i tot, una sanció de 300.000 € a una empresa de selecció de personal per vulnerar l’article 5.1.c) del RGPD (minimització de dades) i una infracció de l’article 12 RGPD en l’àmbit de l’exercici dels drets de l’interessat.

Solucions

No hi ha una solució única. Cada responsable haurà de revisar els seus casos d’ús i veure quines dades necessita i recollir només aquestes. O, si necessita la còpia del DNI, justificar-ho.

I veure si hi ha alternatives menys costoses per a l’usuari.

Hi ha al mercat solucions tècniques que permeten, per exemple, escanejar un document apantallant (ofuscant, excloent, pixelant la imatge, etc.) determinats camps el que permet guardar només aquells estrictament necessaris.

O enviar codis alfanumèrics al telèfon mòbil que permetrà la identificació de l’usuari.

Conclusions

La pràctica de demanar el DNI per a tot ha de decaure. I s’ha de fer un esforç per part de tothom perquè s’escometi la reforma dels sistemes de les empreses al més aviat possible. I prendre mesures també encausat, dels quals parlarem un altre dia. Com sempre, cuideu-vos!

Noves “smart glasses” de Meta i Ray-Ban: tecnologia que espanta

per

Meta ha anunciat en el seu esdeveniment Meta Connect 2023 les seves noves ulleres intel·ligents en col·laboració amb Ray-Ban. És la segona generació de les Ray-Ban Meta Smart Glasses, que han estat dissenyades per EssilorLuxottica i es posaran a la venda als EUA el pròxim 17 d’octubre amb un preu inicial de 299 dòlars (no se sap encara quant costaran a Espanya).

La combinació de la experiència d’un gran fabricant d’ulleres com Ray-Ban amb una plataforma tecnològica capdavantera ha donat a llum un producte tremendament avançat, amb possibilitats gaire bé infinites i a un preu assequible.

Les especificacions tècniques són, senzillament, brutals. Càmera millorada de 12 MP, emissió en directe a Instagram i Facebook, àudio millorat, trucades i missatges, comandaments de veu, touchpad i botó de captura, estoig de carga i, naturalment no podia faltar, Meta AI per trobar la informació en el moment precís des de les teves ulleres. Disposa també d’una App dedicada.

I el disseny és Ray-Ban. Amb això ho diem tot. Des de l’estoig quasi convencional (però que emmagatzema 8 càrregues) fins a dos dissenys icònics: Wayfarer i Headliner, en diferent colors. Són lleugeres, a la moda i amb més de 150 combinacions de muntures i vidres. I, naturalment, es poden graduar a petició.

I, fins aquí, la part brillant de la noticia. Però, com les monedes, tot té dos cares. I el revers és, como quasi sempre, la privacitat. No oblidem que estem parlant de Meta, una companyia que s’ha destacat sempre per tenir un absolut menyspreu per les dades personals dels seus usuaris.  

Només cal recordar l’escàndol de Cambridge Analytica que va desvetllar que l’empresa va accedir indegudament a dades de milions d’usuaris de Facebook per influir a les eleccions.

I, des de l’entrada en aplicació del RGPD el 2018, Meta ha enfrontat multes rècord i litigis relacionats amb la privacitat de les dades en diversos països, inclosos Estats Units i els països membres de la Unió Europea, a causa de la seva gestió de la informació de l’usuari. Aquests han inclòs problemes amb el consentiment de l’usuari i el compartir dades amb tercers sense permís explícit.

Un altre problema important que té Meta és l’ús de dades de l’usuari per fer publicitat dirigida, mitjançant, algoritmes per mostrar contingut i anuncis personalitzats. Aquesta pràctica ha aixecat crítiques en relació  amb la privacitat i l’autonomia de l’usuari.

Tantes han estat les crítiques i tant el debat en els mitjans o a les xarxes que, finalment, Facebook va tenir que canviar el seu nom corporatiu a Meta.

 I, ara, després de la iniciativa del Metavers (que de moment no arrenca), presenta la segona generació d’ulleres intel·ligents. I, es clar, el primer que pensem és en l’horror de milions d’usuaris recopilant dades, en tot moment i lloc, en foto, vídeo àudio i pujant-les en directe a les xarxes socials.

Haurem de veure la Política de Privacitat de Meta per aquest supòsit però, permeteu-me no ser gaire optimista veient-ne la trajectòria fins ara. Això sí, les ulleres són una “passada” i qui sap si tindran èxit i aviat tots portarem ulleres intel·ligents amb la mateixa naturalitat que portem rellotge.

De moment, però, cuideu-vos!

Espanya, un pas endavant en la supervisió de la Intel·ligència Artificial

per

En efecte, l’Agència Espanyola d’Intel·ligència Artificial (AESIA) començarà a funcionar en un termini màxim de tres mesos. A finals d’agost, el Consell de Ministres va aprovar l’Estatut d’aquest organisme, que s’adscriu al Ministeri d’Assumptes Econòmics i Transformació Digital. Espanya es converteix així en el primer país europeu en tenir un òrgan d’aquestes característiques. Però comencen per el principi.

Què és la intel·ligència artificial?

La intel·ligència artificial (IA) és un subcamp de la informàtica que busca crear sistemes capaços de realitzar tasques que requereixen intel·ligència humana. Aquestes tasques poden incloure, però no es limiten a, la comprensió del llenguatge natural, la percepció visual, la presa de decisions, la resolució de problemes i l’aprenentatge a partir de dades o experiències anteriors.

La IA es basa en diferents tècniques i teories, incloent-hi els algoritmes de cerca, la lògica, el reconeixement de patrons, l’aprenentatge automàtic, les xarxes neuronals, la robòtica, entre d’altres.

Què és la intel·ligència artificial generativa?

I com tot avança a tota velocitat, ara ja disposem de IA generativa. La intel·ligència artificial generativa es refereix a sistemes d’IA que poden generar contingut nou que no ha estat prèviament vist. En lloc de simplement analitzar dades i extreure’n informació (com ho faria un sistema d’IA “discriminatiu”), els sistemes generatius poden crear dades que semblen noves i originals.

Això fa que els problemes que planteja la IA és multipliquin.

Perquè necessitem regular la IA?

Les raons són múltiples. Podem citar-ne unes quantes com conductes d’ètica dubtosa que afectin a la privacitat dels individus, raons de seguretat si la IA es fa servir per atacar sistemes de ciberseguretat, opacitat dels algoritmes que amaga com es prenen les decisions, biaix en la presa de decisions que afecti a la igualtat de les persones, responsabilitat en cas de decisions errònies preses per la IA, estimular la innovació cap a direccions positives per la societat, fer aportacions decisives en el camp econòmic i laboral si la IA està ben orientada, protegir el consumidor o, per últim, per coordinar la nostra regulació amb la d’altres països, a la manera, per exemple, com s’ha fet amb la protecció de dades a Europa.

La clau és trobar un equilibri entre protegir la societat i els drets individuals sense frenar la innovació i el desenvolupament tecnològic.

Quin pas ha donat Espanya?

El Govern ha explicat que aquesta estratègia inclou diferents plans estratègics, entre ells l’Estratègia Nacional d’Intel·ligència Artificial (ENIA) , que té com a objectiu donar un marc de referència per al desenvolupament d’una intel·ligència artificial “inclusiva, sostenible i centrada en la ciutadania”.

L’Estratègia forma part del Pla de Recuperació, Transformació i Resiliència (PRTR) , que pretén situar Espanya com a país capdavanter en intel·ligència artificial (IA). L’AESIA s’adscriu al Ministeri d’Afers Econòmics i Transformació Digital mitjançant la Secretaria d’Estat de Digitalització i Intel·ligència Artificial.

Amb la creació d’aquesta agència, Espanya es converteix en el primer país europeu que té un òrgan d’aquestes característiques i s’anticipa a l’entrada en vigor del Reglament europeu d’intel·ligència artificial.

La figura del DPD en la aplicació de la IA

El Delegat de Protecció de Dades, professional que revisa el compliment de la normativa de privacitat a les empreses i organismes, és la figura idònia per supervisar la utilització de la IA. Com diu l’AEPD, “el DPD, fins i tot en els casos que no sigui obligatori, pot ser de gran utilitat en aquelles entitats que empren solucions basades en IA i que tracten dades personals, o  que desenvolupen solucions d’IA que fan ús de dades personals per a l’entrenament dels models. A tenir-ho present.

Conclusions

El món de la IA, tant apassionant com ple de perills i incerteses, ha irromput amb força en la nostra societat. I encara només hem vist el principi. Si som capaços de fer-la nostra, tot minimitzant les desavantatges i potenciant les avantatges per tots, no per uns quants, estic convençut que estem davant del que els americans en diuen un ”game changer”.  Molt disruptiu, potser, fins i tot, superant l’eclosió d’Internet. Veruem.

 

Mentrestant, cuideu-vos!

Com gestionar les xarxes socials d’una persona que ens ha deixat?

per

La vida passa i cada dia passa més de pressa. I a mida que va passant, anem deixant, amb millor o pitjor fortuna, la nostra empremta. Fins ara, aquesta empremta era analògica però, des de fa uns anys, s’hi ha afegit l’empremta digital. De forma silenciosa però constant, cada dia afegim més informació nostra a Internet.

Què es una Empremta Digital ja ho vam explicar temps enrere quan ens preguntàvem Què sap Internet de tu?  Podem definir l’Empremta com el conjunt de dades i continguts personals que compartim a Internet, en particular a les xarxes socials. I la pregunta que ens fem avui és què passa amb aquesta informació quan una persona ens deixa.

La mort d’un esser estimat és sempre un moment difícil. I gestionar la seva presència digital pot sembla un detall insignificant però, és un pas important per honrar la seva memòria. Escrivim aquestes notes arrel de la petició del fill d’un client perquè donéssim de baixa la compte del seu pare a Linkedin. Perquè és important eliminar un compte de Linkedin d’una personal que ens ha deixat? I com ho fem? Continua llegint i trobaràs les respostes.

Perquè eliminar el compte és important?

Eliminar el compte d’una persona morta a Linkedin és important perquè pot ajudar a prevenir el robatori d’identitat i protegir la privacitat de la persona morta i dels seus contactes. A més, pot ajudar a evitar que s’ enviïn missatges no desitjats o es realitzin publicacions en nom de la persona morta. I, per descomptat, evitarem que ens arribi un recordatori anual del seu aniversari, amb el dolor addicional que pot suposar per família i amics.

Per últim, és important també des del punt de vista d’empresa per que pot provocar confusió si el finat no contesta a les sol·licituds d’altres membres de Linkedin.

Passos a seguir per eliminar el compte de Linkedin d’una persona morta

  1. Visita la pàgina d’Ajuda de LinkedIn i busca “Tancar el compte d’un ésser estimat mort”.
  2. Omple el formulari de verificació de defunció, proporcionant tota la informació necessària, com la teva relació amb el finat (testament, llibre de família, etc.) i una còpia de l’obituari o certificat de defunció.
  3. Envia el formulari i espera que l’equip de LinkedIn revisi la teva sol·licitud. Això pot trigar algunes setmanes, però un cop s’aprova, el compte es tancarà.

És possible que Llnkedin ens demani informació addicional i cal tenir en compte que el procediment és irreversible.

Alternatives

Linkedin ofereix també la possibilitat de convertir el compte estàndard en un compte “in memoriam. Aquest tipus de compte permet als contactes del finat compartir records i homenatges en el seu perfil.

Conclusió

Tancar el compte de Linkedin és important però és una de les coses que cal fer quan ens deixa una persona estimada. Però no és la única. A més de les xarxes socials, hi ha molts altres llocs a Internet on hi pot haver continguts que facin referència al finat. Potser algun d’indesitjable però també molts d’interessants i que caldrà preservar.

La nostra recomanació és demanar un Informe d’Empremta Digital, a partir del qual poder repassar totes les aparicions i actuar en conseqüència en cada cas.

Com sempre, cuideu-vos i cuideu del vostres, fins i tot, dels que ens falten!

Fi de les trucades comercials no desitjades?

per

Tots estem cansats de rebre trucades no desitjades, moltes a hores intempestives, oferint-nos tot tipus de serveis, ofertes o propostes de los més divers. En efecte, a les ja conegudes trucades dels operadors de telefonia que ens ofereixen la tarifa definitiva amb tota classe de regals i descomptes, fins a ONG’s que reclamen ajudes per els seus propòsits, passant per tota mena d’empreses fent una acció comercial desagradable per tothom, amb una més que discutida rendibilitat. I ara, en campanya, també si afegeixen els partits polítics de forma més o menys disfressada.

Doncs bé, sembla que aquesta pràctica comercial pot estar en camí de desaparèixer. En efecte, el passat 30 de juny de 2022 va entrar en vigor la Llei 11/2022 General de Telecomunicacions, excepte l’article 66.1.b) per el que es va establir una moratòria d’un any per la seva entrada en vigor. I l’any es va complir ahir. I l’AEPD ha publicat una Circular que ho explica.

Consentiment

L’article es refereix, precisament, al dret de no rebre trucades comercials no desitjades. A partir d’ara, els usuaris tindrem dret s no rebre aquest tipus de trucades, tret que existeixi consentiment per part nostra o que la comunicació es pugui emparar en una altre base de legitimació de l’article 6.1 del Reglament (UE) 2016/679, es a dir, el RGPD.  

I com és natural aquest consentiment ah de complir totes les exigències que recull el Reglament.

Interès legítim

El cas més freqüent d’utilització d’aquesta base de legitimació per l’empresa, és que hi hagi una relació contractual prèvia, si el responsable va obtenir les dades de forma lícita i les fa servir per comunicacions comercials referents a productes o serveis de la seva empresa que siguin similars als que inicialment van ser objecte de contractació per part del client.

Mesures prèvies

Serà necessari que les empreses consultin prèviament els sistemes d’exclusió publicitària, conforme a l’article 23 de la LOPDGDD. El més conegut és la inscripció al Servei Llista Robinson. És gratuït i molt senzill de fer servir. L’AEPD ofereix a la seva web diverses maneres de restringir la publicitat no desitjada.

Les empreses també hauran adoptar garanties addicionals com són la informació sobre la identitat de l’empresari, indicar la finalitat comercial de la trucada i informar sobre la possibilitat de revocar el consentiment o exercir el dret d’oposició a rebre trucades.

Les trucades s’hauran de gravar per demostrar el compliment de la normativa sobre protecció de dades.

Les sancions

L’encarregat de fer complir la norma és l’AEPD que podrà imposar sancions fins a 100.000€ per les faltes lleus, i de fins a 20M€ en els casos d’infraccions molt greus.

Conclusions

Potser estiguem molt a la vora de resoldre una situació molt injusta per els usuaris y que fa masses anys que dura. L’abús i la impunitat de que han fet gala moltes empreses, tecnològiques, assegurances, bancàries, etc, havia arribat a un punt de fer-se, moltes vegades, insuportable. Seguirem d’a prop l’evolució de l’aplicació de la norma i, en especial, pel que fa referència a les sancions.

Des d’avui, la vida és una mica més fàcil per els usuaris. Recordeu, cuideu-vos!

L’Espai Europeu de Dades Sanitàries (EHDS): un immens repte per a la privacitat

per

Introducció:

Diuen que el camí a l’infern està empedrat de bones intencions. El passat maig del 2022, la Comissió Europea va presentar una proposta de regulació sobre el denominat Espai Europeu de Dades Sanitàries. La proposta va ser motivada pel descobriment d’un alt grau de fragmentació, disparitats i dificultats en l’accés i l’ús de dades sanitàries electròniques en els Estats membres de la Unió Europea. De fet, les accions dels Estats membres en aquest àmbit s’han demostrat clarament insuficients. La pandèmia va fer saltar totes les costures.

Els problemes

Ara mateix, els usuaris tenim dificultats per exercir els nostres drets sobre les dades electròniques de salut, incloent-hi l’accés i la transferència, tant a nivell nacional com transfronterers. Per exemple, encara que tinguem les dades en digital, els usuaris no estem en disposició de donar accés o permetre’l a les nostres dades a diferents proveïdors de salut.

Avui en dia, hi ha diferències significatives en l’aplicació de regles a través dels Estats membres per la manca de pautes i recomanacions. I això és el que pretén millorar la Unió Europea.

Les bones intencions

Doncs la Comissió Europea te intenció de definit estàndards i practiques comuns per crear la necessària infraestructura i certificacions per establir un marc de governança comú per l’ús compartit de dades electròniques de salut.

Això permetrà un major control dels individus sobre les seves dades, facilitant l’accés i la compartició amb els professionals sanitaris. I d’altre banda, facilitarà la feina d’aquest professionals permetent l’accés a la història mèdica del pacient, incrementant la base de coneixement per prendre més decisions sobre el diagnòstic i el tractament dels pacients.

Els reptes (o perills)

Milions de dades de salut, que recordem són de categoria especial, gestionats per pacients i professionals de la sanitat suposen un repte gegantí per una UE compromesa, unida i sense fissures, amb la protecció de dades.

I, quins són aquest reptes? Repassem-ne els principals.

Requerir el consentiment del pacient per compartir les dades de salut. I com be recull el Reglament, el consentiment ha de ser explícit, inequívoc, que reflecteixi una manifestació lliure, informada d’acceptar el tractament de dades que li concerneixen. I el dret de retirar el consentiment en qualsevol moment. No sembla que la UE ho tingui molt clar. Més aviat el contrari.

Limitar la definició de dades de salut. Ara mateix, el text defineix com “dades de salut” un ampli ventall de 15 categories que van molt més enllà del què entenem, estrictament parlant, per informació sobre la salut o l’atenció mèdica dels pacients. Alguns exemples de dades proposades com de “salut”: assegurança, estatus professional, educació, consum de substàncies, benestar, comportament, estil de vida, … Clarament excessiu, al meu parer.

Fer que les finalitats permeses per a l’ús de les dades siguin precises i legítimes

La llista de finalitats permeses del tractament de dades de salut és massa llarga i massa inconcreta: per exemple, els governs poden donar accés a qualsevol tercer que consideri convenient per garantir “alts nivells de qualitat i seguretat sanitària i de medicaments o dispositius mèdics”. El redactat sembla fet per una empresa farmacèutica.

La seguretat de les dades ha de ser la màxima prioritat

Una obvietat però no per això ho deixarem de dir-ho. Dades sensibles de més de 450 milions d’europeus en centres de dades centralitzats, és un pastís massa llaminer per els ciberdelinqüents. El valor en el mercat negre d’aquestes dades en el mercat negre és incalculable. El dany que pot provocar un ciberatac, també. El recent episodi del Clínic de Barcelona n’és un exemple.

Conclusions

Les avantatges de la iniciativa són evidents. Els perills, també. Si a aquest escenari li afegim Intel·ligència Artificial o Big Data, tenim servit el còctel explosiu. I parlem no tan sols del primer ús de les dades (l’assistència sanitària) sinó també de l’ús secundari, aquell que permet transferir dades a organismes, industries, investigadors, reguladors, etc. per tal de millorar la atenció sanitària, la investigació, la innovació i les polítiques.

Veurem. De moment, cuideu-vos perquè si no ho fem nosaltres, no sé si ho farà ningú!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web