Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Espanya, un pas endavant en la supervisió de la Intel·ligència Artificial

per

En efecte, l’Agència Espanyola d’Intel·ligència Artificial (AESIA) començarà a funcionar en un termini màxim de tres mesos. A finals d’agost, el Consell de Ministres va aprovar l’Estatut d’aquest organisme, que s’adscriu al Ministeri d’Assumptes Econòmics i Transformació Digital. Espanya es converteix així en el primer país europeu en tenir un òrgan d’aquestes característiques. Però comencen per el principi.

Què és la intel·ligència artificial?

La intel·ligència artificial (IA) és un subcamp de la informàtica que busca crear sistemes capaços de realitzar tasques que requereixen intel·ligència humana. Aquestes tasques poden incloure, però no es limiten a, la comprensió del llenguatge natural, la percepció visual, la presa de decisions, la resolució de problemes i l’aprenentatge a partir de dades o experiències anteriors.

La IA es basa en diferents tècniques i teories, incloent-hi els algoritmes de cerca, la lògica, el reconeixement de patrons, l’aprenentatge automàtic, les xarxes neuronals, la robòtica, entre d’altres.

Què és la intel·ligència artificial generativa?

I com tot avança a tota velocitat, ara ja disposem de IA generativa. La intel·ligència artificial generativa es refereix a sistemes d’IA que poden generar contingut nou que no ha estat prèviament vist. En lloc de simplement analitzar dades i extreure’n informació (com ho faria un sistema d’IA “discriminatiu”), els sistemes generatius poden crear dades que semblen noves i originals.

Això fa que els problemes que planteja la IA és multipliquin.

Perquè necessitem regular la IA?

Les raons són múltiples. Podem citar-ne unes quantes com conductes d’ètica dubtosa que afectin a la privacitat dels individus, raons de seguretat si la IA es fa servir per atacar sistemes de ciberseguretat, opacitat dels algoritmes que amaga com es prenen les decisions, biaix en la presa de decisions que afecti a la igualtat de les persones, responsabilitat en cas de decisions errònies preses per la IA, estimular la innovació cap a direccions positives per la societat, fer aportacions decisives en el camp econòmic i laboral si la IA està ben orientada, protegir el consumidor o, per últim, per coordinar la nostra regulació amb la d’altres països, a la manera, per exemple, com s’ha fet amb la protecció de dades a Europa.

La clau és trobar un equilibri entre protegir la societat i els drets individuals sense frenar la innovació i el desenvolupament tecnològic.

Quin pas ha donat Espanya?

El Govern ha explicat que aquesta estratègia inclou diferents plans estratègics, entre ells l’Estratègia Nacional d’Intel·ligència Artificial (ENIA) , que té com a objectiu donar un marc de referència per al desenvolupament d’una intel·ligència artificial “inclusiva, sostenible i centrada en la ciutadania”.

L’Estratègia forma part del Pla de Recuperació, Transformació i Resiliència (PRTR) , que pretén situar Espanya com a país capdavanter en intel·ligència artificial (IA). L’AESIA s’adscriu al Ministeri d’Afers Econòmics i Transformació Digital mitjançant la Secretaria d’Estat de Digitalització i Intel·ligència Artificial.

Amb la creació d’aquesta agència, Espanya es converteix en el primer país europeu que té un òrgan d’aquestes característiques i s’anticipa a l’entrada en vigor del Reglament europeu d’intel·ligència artificial.

La figura del DPD en la aplicació de la IA

El Delegat de Protecció de Dades, professional que revisa el compliment de la normativa de privacitat a les empreses i organismes, és la figura idònia per supervisar la utilització de la IA. Com diu l’AEPD, “el DPD, fins i tot en els casos que no sigui obligatori, pot ser de gran utilitat en aquelles entitats que empren solucions basades en IA i que tracten dades personals, o  que desenvolupen solucions d’IA que fan ús de dades personals per a l’entrenament dels models. A tenir-ho present.

Conclusions

El món de la IA, tant apassionant com ple de perills i incerteses, ha irromput amb força en la nostra societat. I encara només hem vist el principi. Si som capaços de fer-la nostra, tot minimitzant les desavantatges i potenciant les avantatges per tots, no per uns quants, estic convençut que estem davant del que els americans en diuen un ”game changer”.  Molt disruptiu, potser, fins i tot, superant l’eclosió d’Internet. Veruem.

 

Mentrestant, cuideu-vos!

Com gestionar les xarxes socials d’una persona que ens ha deixat?

per

La vida passa i cada dia passa més de pressa. I a mida que va passant, anem deixant, amb millor o pitjor fortuna, la nostra empremta. Fins ara, aquesta empremta era analògica però, des de fa uns anys, s’hi ha afegit l’empremta digital. De forma silenciosa però constant, cada dia afegim més informació nostra a Internet.

Què es una Empremta Digital ja ho vam explicar temps enrere quan ens preguntàvem Què sap Internet de tu?  Podem definir l’Empremta com el conjunt de dades i continguts personals que compartim a Internet, en particular a les xarxes socials. I la pregunta que ens fem avui és què passa amb aquesta informació quan una persona ens deixa.

La mort d’un esser estimat és sempre un moment difícil. I gestionar la seva presència digital pot sembla un detall insignificant però, és un pas important per honrar la seva memòria. Escrivim aquestes notes arrel de la petició del fill d’un client perquè donéssim de baixa la compte del seu pare a Linkedin. Perquè és important eliminar un compte de Linkedin d’una personal que ens ha deixat? I com ho fem? Continua llegint i trobaràs les respostes.

Perquè eliminar el compte és important?

Eliminar el compte d’una persona morta a Linkedin és important perquè pot ajudar a prevenir el robatori d’identitat i protegir la privacitat de la persona morta i dels seus contactes. A més, pot ajudar a evitar que s’ enviïn missatges no desitjats o es realitzin publicacions en nom de la persona morta. I, per descomptat, evitarem que ens arribi un recordatori anual del seu aniversari, amb el dolor addicional que pot suposar per família i amics.

Per últim, és important també des del punt de vista d’empresa per que pot provocar confusió si el finat no contesta a les sol·licituds d’altres membres de Linkedin.

Passos a seguir per eliminar el compte de Linkedin d’una persona morta

  1. Visita la pàgina d’Ajuda de LinkedIn i busca “Tancar el compte d’un ésser estimat mort”.
  2. Omple el formulari de verificació de defunció, proporcionant tota la informació necessària, com la teva relació amb el finat (testament, llibre de família, etc.) i una còpia de l’obituari o certificat de defunció.
  3. Envia el formulari i espera que l’equip de LinkedIn revisi la teva sol·licitud. Això pot trigar algunes setmanes, però un cop s’aprova, el compte es tancarà.

És possible que Llnkedin ens demani informació addicional i cal tenir en compte que el procediment és irreversible.

Alternatives

Linkedin ofereix també la possibilitat de convertir el compte estàndard en un compte “in memoriam. Aquest tipus de compte permet als contactes del finat compartir records i homenatges en el seu perfil.

Conclusió

Tancar el compte de Linkedin és important però és una de les coses que cal fer quan ens deixa una persona estimada. Però no és la única. A més de les xarxes socials, hi ha molts altres llocs a Internet on hi pot haver continguts que facin referència al finat. Potser algun d’indesitjable però també molts d’interessants i que caldrà preservar.

La nostra recomanació és demanar un Informe d’Empremta Digital, a partir del qual poder repassar totes les aparicions i actuar en conseqüència en cada cas.

Com sempre, cuideu-vos i cuideu del vostres, fins i tot, dels que ens falten!

Fi de les trucades comercials no desitjades?

per

Tots estem cansats de rebre trucades no desitjades, moltes a hores intempestives, oferint-nos tot tipus de serveis, ofertes o propostes de los més divers. En efecte, a les ja conegudes trucades dels operadors de telefonia que ens ofereixen la tarifa definitiva amb tota classe de regals i descomptes, fins a ONG’s que reclamen ajudes per els seus propòsits, passant per tota mena d’empreses fent una acció comercial desagradable per tothom, amb una més que discutida rendibilitat. I ara, en campanya, també si afegeixen els partits polítics de forma més o menys disfressada.

Doncs bé, sembla que aquesta pràctica comercial pot estar en camí de desaparèixer. En efecte, el passat 30 de juny de 2022 va entrar en vigor la Llei 11/2022 General de Telecomunicacions, excepte l’article 66.1.b) per el que es va establir una moratòria d’un any per la seva entrada en vigor. I l’any es va complir ahir. I l’AEPD ha publicat una Circular que ho explica.

Consentiment

L’article es refereix, precisament, al dret de no rebre trucades comercials no desitjades. A partir d’ara, els usuaris tindrem dret s no rebre aquest tipus de trucades, tret que existeixi consentiment per part nostra o que la comunicació es pugui emparar en una altre base de legitimació de l’article 6.1 del Reglament (UE) 2016/679, es a dir, el RGPD.  

I com és natural aquest consentiment ah de complir totes les exigències que recull el Reglament.

Interès legítim

El cas més freqüent d’utilització d’aquesta base de legitimació per l’empresa, és que hi hagi una relació contractual prèvia, si el responsable va obtenir les dades de forma lícita i les fa servir per comunicacions comercials referents a productes o serveis de la seva empresa que siguin similars als que inicialment van ser objecte de contractació per part del client.

Mesures prèvies

Serà necessari que les empreses consultin prèviament els sistemes d’exclusió publicitària, conforme a l’article 23 de la LOPDGDD. El més conegut és la inscripció al Servei Llista Robinson. És gratuït i molt senzill de fer servir. L’AEPD ofereix a la seva web diverses maneres de restringir la publicitat no desitjada.

Les empreses també hauran adoptar garanties addicionals com són la informació sobre la identitat de l’empresari, indicar la finalitat comercial de la trucada i informar sobre la possibilitat de revocar el consentiment o exercir el dret d’oposició a rebre trucades.

Les trucades s’hauran de gravar per demostrar el compliment de la normativa sobre protecció de dades.

Les sancions

L’encarregat de fer complir la norma és l’AEPD que podrà imposar sancions fins a 100.000€ per les faltes lleus, i de fins a 20M€ en els casos d’infraccions molt greus.

Conclusions

Potser estiguem molt a la vora de resoldre una situació molt injusta per els usuaris y que fa masses anys que dura. L’abús i la impunitat de que han fet gala moltes empreses, tecnològiques, assegurances, bancàries, etc, havia arribat a un punt de fer-se, moltes vegades, insuportable. Seguirem d’a prop l’evolució de l’aplicació de la norma i, en especial, pel que fa referència a les sancions.

Des d’avui, la vida és una mica més fàcil per els usuaris. Recordeu, cuideu-vos!

L’Espai Europeu de Dades Sanitàries (EHDS): un immens repte per a la privacitat

per

Introducció:

Diuen que el camí a l’infern està empedrat de bones intencions. El passat maig del 2022, la Comissió Europea va presentar una proposta de regulació sobre el denominat Espai Europeu de Dades Sanitàries. La proposta va ser motivada pel descobriment d’un alt grau de fragmentació, disparitats i dificultats en l’accés i l’ús de dades sanitàries electròniques en els Estats membres de la Unió Europea. De fet, les accions dels Estats membres en aquest àmbit s’han demostrat clarament insuficients. La pandèmia va fer saltar totes les costures.

Els problemes

Ara mateix, els usuaris tenim dificultats per exercir els nostres drets sobre les dades electròniques de salut, incloent-hi l’accés i la transferència, tant a nivell nacional com transfronterers. Per exemple, encara que tinguem les dades en digital, els usuaris no estem en disposició de donar accés o permetre’l a les nostres dades a diferents proveïdors de salut.

Avui en dia, hi ha diferències significatives en l’aplicació de regles a través dels Estats membres per la manca de pautes i recomanacions. I això és el que pretén millorar la Unió Europea.

Les bones intencions

Doncs la Comissió Europea te intenció de definit estàndards i practiques comuns per crear la necessària infraestructura i certificacions per establir un marc de governança comú per l’ús compartit de dades electròniques de salut.

Això permetrà un major control dels individus sobre les seves dades, facilitant l’accés i la compartició amb els professionals sanitaris. I d’altre banda, facilitarà la feina d’aquest professionals permetent l’accés a la història mèdica del pacient, incrementant la base de coneixement per prendre més decisions sobre el diagnòstic i el tractament dels pacients.

Els reptes (o perills)

Milions de dades de salut, que recordem són de categoria especial, gestionats per pacients i professionals de la sanitat suposen un repte gegantí per una UE compromesa, unida i sense fissures, amb la protecció de dades.

I, quins són aquest reptes? Repassem-ne els principals.

Requerir el consentiment del pacient per compartir les dades de salut. I com be recull el Reglament, el consentiment ha de ser explícit, inequívoc, que reflecteixi una manifestació lliure, informada d’acceptar el tractament de dades que li concerneixen. I el dret de retirar el consentiment en qualsevol moment. No sembla que la UE ho tingui molt clar. Més aviat el contrari.

Limitar la definició de dades de salut. Ara mateix, el text defineix com “dades de salut” un ampli ventall de 15 categories que van molt més enllà del què entenem, estrictament parlant, per informació sobre la salut o l’atenció mèdica dels pacients. Alguns exemples de dades proposades com de “salut”: assegurança, estatus professional, educació, consum de substàncies, benestar, comportament, estil de vida, … Clarament excessiu, al meu parer.

Fer que les finalitats permeses per a l’ús de les dades siguin precises i legítimes

La llista de finalitats permeses del tractament de dades de salut és massa llarga i massa inconcreta: per exemple, els governs poden donar accés a qualsevol tercer que consideri convenient per garantir “alts nivells de qualitat i seguretat sanitària i de medicaments o dispositius mèdics”. El redactat sembla fet per una empresa farmacèutica.

La seguretat de les dades ha de ser la màxima prioritat

Una obvietat però no per això ho deixarem de dir-ho. Dades sensibles de més de 450 milions d’europeus en centres de dades centralitzats, és un pastís massa llaminer per els ciberdelinqüents. El valor en el mercat negre d’aquestes dades en el mercat negre és incalculable. El dany que pot provocar un ciberatac, també. El recent episodi del Clínic de Barcelona n’és un exemple.

Conclusions

Les avantatges de la iniciativa són evidents. Els perills, també. Si a aquest escenari li afegim Intel·ligència Artificial o Big Data, tenim servit el còctel explosiu. I parlem no tan sols del primer ús de les dades (l’assistència sanitària) sinó també de l’ús secundari, aquell que permet transferir dades a organismes, industries, investigadors, reguladors, etc. per tal de millorar la atenció sanitària, la investigació, la innovació i les polítiques.

Veurem. De moment, cuideu-vos perquè si no ho fem nosaltres, no sé si ho farà ningú!

Privacitat sense límits?

per

La pregunta és, Què distingeix a las violacions de la privacitat d’altres danys? Això és el que planteja un paper americà, “Distinguishing privacy law: a critique of privacy as social taxonomy”.

La tesis que sostenen els autors és que durant el segle XX els estudiosos de la privacitat van intentar definir el concepte il·lusori de la privacitat. No van tenir èxit. Amb el canvi de mil·lenni, va arribar un nou enfoc: una taxonomia de de problemes de privacitat basada en el reconeixement social. Hem convertit el concepte amb un catàleg de casos abandonant la definició del seu objecte central. I ja és hora de repensar el concepte de privacitat en un entorn de informació complex i per què, donat un problema social –de la discriminació a la desinformació–, val la pena estudiar-ho en un marc de privacitat.

Privacitat

I què entenem per Privacitat? Doncs no tenim una definició pacífica. Però podem definir-la com el dret que tenim a preservar la nostra vida íntima (dret a l’honor, la intimitat i a la pròpia imatge com recull la nostra Constitució) i que no sigui accessible a altres sense el nostre consentiment. I aquesta definició inclou el concepte Privacitat Digital que és el be jurídic que la normativa de protecció de dades vol salvaguardar.

I la Privacitat Digital és el dret dels usuaris a protegir les seves dades a Internet y decidir quina informació personal poden veure els demés. I quina informació poden utilitzar i per què. És una expectativa legítima que tenim com persones de poder administrar la nostra “empremta digital”.  Ser, en definitiva, sobirans de les nostres dades. Ens hi juguem la nostra reputació digital, el nostre patrimoni intangible més important.

Privacitat sense límits?

La tecnologia evoluciona cada dia i planteja importants problemes de privacitat. Necessitem experiència per comprendre aquest problemes i trobar solucions imaginatives. Però la privacitat no hauria de prevaldre sobre qualsevol altre qüestió, de la mateixa manera que les altres qüestions no haurien de prevaldre automàticament sobre la privacitat. Ambdós interessos han de fer concessions i trobar un resultat equilibrat.

Nous reptes, noves solucions

Moltes tecnologies existents i gairebé totes les noves plantegen importants problemes de privacitat. Només cal veure, en aquest sentit, l’impacte que ha suposat ChatGPT i aplicacions similars. Ja hem vist respostes de tot tipus, des de prohibir-ne la seva utilització (per exemple, a Itàlia que ja han fet marxa enrere) fins a investigar-ne a fons com, per exemple, l’AEPD que ja va iniciar d’ofici actuacions d’investigació d’OpenAI, propietària de ChatGPT.

Davant els nous reptes, cal articular noves solucions. El RGPD promou la “privacitat per disseny”, es a dir, davant de qualsevol iniciativa considerar les implicacions de privacitat des del principi. Això ha de ser així sense convertir-se en guardians que impedeixin o menyscabin el desenvolupament empresarial.

Per què això no ha fet més que començar. Cal treballar plegats per trobar un equilibri entre el dret a la privacitat i la llibertat necessària perquè el món que coneixem no s’aturi amb una censura desbordada.

Cuideu-vos!

ChatGPT: Àngel o Dimoni

per

Així es titulava la sessió d’ahir de El Mirador Indiscret, unes sessions de debat que periòdicament organitza el Col·legi del Màrqueting i la Comunicació de Catalunya sobre temes d’actualitat i interès per els col·legiats.

I la d’ahir no podia ser més oportuna ni de més interès. Oportuna perquè ChatGPT és, sens dubte, la tecnologia del moment de la que tothom en parla. Només veient la velocitat en la taxa d’adopció (mes de 100 milions d’usuaris en dos mesos) ens en podem fer la idea. I d’interès, més que mai, per tota la professió: creatius, copys, directors d’art, … per les implicacions que tindrà en la seva feina.

Veient la inversió de Microsoft i la incorporació de ChatGPT en el seu cercador Bing podem pensar que això no ha fet més que començar. I de la importància que té el fenòmen, en Gerard Olivé va posar dos exemples molt recents.

El primer, el pànic de Google quan Microsoft va anunciar la incorporació que va ser èpic. Tot de sobte, la totpoderosa Google rebia una sotragada de dimensions difícils d’avaluar encara en el seu “core business”, el cercador. Tot d’una, sembla més interessant buscar a Bing amb ChatGPT que a Google. I ningú ho va a veure venir.

I el segon, la intensa aplicació de la intel·ligència artificial als seus processos de negoci per part de Shein, la distribuïdora tèxtil, que els ho dona una avantatge competitiva davant d’Inditex, H&M i d’altres competidors. El time to market resulta ser molt més competitiu, tant en temps com en disseny. La seva app va ser la mès descarregada en compres als Estats Units l’any passat. A tenir en compte.

I, és clar, després de glosar les meravelles de l’eina, i sense voler desinflar el soufflé, era necessari tocar el tema de la protecció de dades. Per això, Gina Tost (Secretaria de Polítiques Digitals de la Generalitat)  es va encarregar, des del punt de vista de l’Administració, de valorar la irrupció d’aquestes tecnologies, les amenaces que es preveuen, els drets i deures digitals afectats i, naturalment, de la importància del marc regulador i com s’està treballant en aquest sentit.

I en aquest sentit, hem d’assenyalar que el be jurídic a protegir és la Privacitat Digital. És el dret que tenim als usuaris de protegir les nostres dades a internet y decidir quina informació poden veure els demés, quina informació poden utilitzar i amb quina finalitat i com exercir els nostres drets. És una expectativa legítima que tenim com individus de poder administrar la nostra “empremta digital”, entesa com l’allau de dades personals que generem cada dia i que, en definitiva, determinen la nostra reputació digital.

Com dèiem al principi, això no ha fet més que començar. ChatGPT no és, ni molt menys, l’única eina d’intel·ligència artificial al nostre abast. Ara mateix les podem comptar per centenars, amb totes les derivacions imaginables. Fins i tot, ja apareixen feines tant específiques com la de “prompt engineer”,  aquell professional que desenvolupa i optimitza la comunicació amb els algoritmes per obtenir el millor resultat.

En front d’aquest tsunami tecnològic que se’ns ve a sobre, la normativa de protecció de dades és l’instrument al nostre abast per mantenir la sobirania de les nostres dades. Hem de tenir el control perquè, d’altre manera, caldrà repensar si el viatge val la pena.

Com sempre, cuideu les vostres dades i cuideu-vos!

“Sentir el control”. Això és tot el que es demana.

per

Segons l’últim Informe que l’empresa d’investigació de mercats Ipsos ha fet per Google, “Privacitat des del disseny: els beneficis de donar el control a la gent”, les empreses que basen els seus negocis en l’explotació de les dades personals dels usuaris comencen a valorar l’aplicació de polítiques de protecció de dades que permeti als usuaris tenir la percepció que les seves dades personals seran tractades de forma adequada.

Els usuaris prefereixen veure anuncis rellevants i útils i estan oberts a compartir les seves dades amb les marques, però volen sentir el control de quan ho fan. Millorar la sensació de control que la gent té sobre les seves dades és una manera poderosa perquè les marques generin confiança, augmentin l’eficàcia del màrqueting i obtinguin millors resultats.

Principals conclusions del Informe

  1. Proporcionar una experiència de privadesa positiva pot augmentar la quota de preferències de marca en un 49%.
    Després d’una experiència de privadesa positiva amb la seva marca de segona elecció, el 49% de les persones van dir que canviarien de la seva marca preferida a la segona marca.
  1. Equivocar-se en l’experiència de privadesa té un impacte negatiu tant en la confiança com en les preferències de marca.
    Per a molts dels participants en l’estudi, les experiències de privadesa que no tenien transparència o que no proporcionaven coneixement i/o autonomia al client eren molt perjudicials, tant per a la confiança de la marca com per les preferències dels participants.
  1. Hi ha poderoses pràctiques de privacitat que les marques poden desplegar per augmentar les sensacions de control, i les combinacions més efectives tenen un impacte positiu notable en alguna cosa més que els sentiments de control.
    Per obtenir el impacte positiu més gran en les sensacions de control, les marques haurien de desplegar una combinació provada de pràctiques que creïn experiències de privadesa Significatives, Memorables i Manejables.

L’estudi suggereix que les marques que poden oferir aquestes experiències veuran, amb el pas del temps, un efecte bola de neu positiu: la gent sentirà que té el control, cosa que augmenta la confiança de la marca i augmenta les preferències de la marca. Les marques que descuidin la privadesa corren el risc de l’escenari contrari. El camí cap a l’èxit és clar: adoptar pràctiques basades en les tres característiques mencionades (Significatives, Memorables i Manejables)  per donar a les persones una sensació de control i millorar l’eficàcia del màrqueting.

“Sentir” el control

Per als usuaris, “sentir” el control és alguna cosa més que tenir el control. Les eines de privadesa que permeten a les persones canviar les seves preferències de cookies i donar-se de baixa del màrqueting per correu electrònic poden ajudar-los a mantenir control de les seves dades. Però aquestes eines no són suficients per proporcionar als clients la sensació més substancial de control que necessiten per confiar en una marca. Els clients també volen saber quan i per què comparteixen la seva informació i entendre els avantatges que rebran de fer-ho.

Per concloure, direm que les marques tenen que fer un esforç perquè el client tingui la percepció de que té el control sobre la seva privadesa i que, naturalment, el tingui. Si sabem quines dades compartim i com ens beneficia a nosaltres fer-ho, l’empresa té que ser lleial amb nosaltres. A canvi, tindrà la nostra confiança, el que es traduirà, a ben segur, en millors vendes.

I, com sempre, cuideu-vos!

No tot seran cookies

per

A més dels cookies o el píxel de Facebook, hi ha altres tècniques per intentar predir els interessos dels usuaris i fer que comprin el producte, que és el final el que interessa a les empreses. Entre aquestes tècniques apuntem avui l’anàlisi de comportament que té, cada dia més, un gran predicament en l’àrea de ciberseguretat, la salut i la seguretat de les persones i, com no, en el camp dels serveis i el màrqueting.

L’anàlisi de comportament d’usuaris (UEBA, per les seves sigles en anglès) que es fa servir en els serveis d’Internet recullen grans quantitats de dades d’usuaris o entitats, aplicant, gairebé sempre, tècniques de machine learning  (aprenentatge automàtic o d’Intel·ligència Artificial (IA) per generar models de comportament.

I aquesta tècnica també es pot aplicar en l’àmbit del màrqueting per entendre millor el comportament dels consumidors i millorar l’experiència de l’usuari al lloc web o l’aplicació mòbil. No obstant això, la implementació de UEBA en el màrqueting també planteja preocupacions sobre la privacitat i protecció de dades personals dels usuaris.

L’anàlisi de comportament d’usuaris en el màrqueting implica l’ús de dades de registre d’esdeveniments per entendre com els usuaris interactuen amb el lloc web o l’aplicació mòbil. A través de l’anàlisi d’aquestes dades, els especialistes en màrqueting poden identificar patrons de comportament dels usuaris, incloent com interactuen amb la pàgina, quins productes o serveis busquen, quins continguts els interessen, entre d’altres.

Aquestes dades poden ser extremadament valuoses per a les empreses, ja que els permeten personalitzar l’ experiència de l’ usuari i oferir contingut i ofertes que siguin més rellevants per a ells. Per exemple, un lloc web de comerç electrònic pot utilitzar l’anàlisi de comportament dels usuaris per identificar els productes que els usuaris estan buscant amb més freqüència i oferir ofertes especials en aquests productes.

No obstant això, l’ús d’UEBA en el màrqueting també planteja desafiaments significatius en termes de privacitat i protecció de dades personals. Les dades de registre d’esdeveniments utilitzats en l’anàlisi de comportament d’usuaris poden incloure informació personal i confidencial, com adreces IP, informació de navegació, informació de compres i altra informació relacionada amb l’activitat de l’usuari en el lloc web o l’aplicació mòbil.

Com sempre, dos cares de la moneda. Una avantatge tecnològica que té la creu en la privacitat de l’usuari. Recorda l’AEPD que els principis del RGPD són d’obligat compliment, incloent-hi el principi de transparència. I moltes vegades els usuaris no som informats degudament.

Cal que estiguem sempre alerta. Cuideu-vos!

A la tercera, va la vençuda?

per

L’Acord Transatlàntic de Protecció de Dades (ATP) és un nou marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord va ser anunciat el febrer del 2021, després de mesos de negociacions, i busca proporcionar un marc actualitzat i més sòlid per a la transferència de dades personals.

L’ Acord

L’ ATP es basa en un conjunt de normes i compromisos que els proveïdors de serveis han de complir per garantir que les dades personals siguin tractades de manera justa i transparent. Aquestes normes inclouen l ‘ obligació dels proveïdors de serveis de proporcionar informació clara i concisa sobre com s’ utilitzaran les dades personals, així com el dret dels individus a accedir i rectificar les seves dades personals.

L’ATP també estableix una sèrie de controls i mesures de seguretat per protegir les dades personals dels ciutadans europeus. Aquestes mesures inclouen l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, així com l’ obligació de notificar a les autoritats pertinents en cas d’ una violació de dades.

A més, l’ATP se centra en la supervisió i el compliment. L’ ATP estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses que no compleixin amb els requisits de l’ ATP s’ enfrontaran a sancions i mesures disciplinàries.

Una de les principals diferències entre l’ATP i els seus predecessors és que l’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals. Aquests compromisos inclouen la promesa que les autoritats dels Estats Units només podran accedir a les dades personals dels ciutadans europeus en casos específics i limitats, i només si s’han esgotat altres opcions. A més, el govern dels Estats Units s’ha compromès a crear un mecanisme de recurs independent perquè els ciutadans europeus puguin presentar queixes i buscar reparació en cas que es produeixin violacions de dades.

La falta d’ acord anterior

L’acord anterior, Privacy Shield (Escut de Privacitat), va ser dissenyat per proporcionar un marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord es basava en una sèrie de compromisos i garanties per part del govern dels Estats Units en relació amb la protecció de dades personals.

No obstant això, el juliol del 2020, el Tribunal de Justícia de la Unió Europea (TJUE) va declarar la invalidesa del Privacy Shield, argumentant que el marc no garantia adequadament la protecció de les dades personals dels ciutadans europeus en mans de les empreses estatunidenques.

La decisió va ser rebuda amb preocupació per les empreses que depenen de la transferència de dades entre Europa i Estats Units per dur a terme les seves operacions. Les empreses que no van poder complir amb els requisits de Privacy Shield es van veure obligades a suspendre o restringir les seves operacions a Europa.

L’ impacte en les empreses

L’impacte més obvi de l’ATP a les empreses és que hauran de complir amb nous requisits en relació amb la protecció de dades personals. Això pot implicar la revisió i actualització de les polítiques i pràctiques de privacitat, la implementació de noves mesures de seguretat, la contractació de personal addicional i l’ adopció de noves tecnologies per garantir el compliment de l’ ATP.

Les empreses també hauran de garantir que les mesures de seguretat tècniques i organitzatives que implementen per protegir les dades personals siguin adequades i eficaces. L’ ATP estableix l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, i això significa que les empreses hauran de revisar i actualitzar les seves mesures de seguretat per garantir que siguin suficients per protegir les dades personals.

L‘ATP també estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses hauran d’ assegurar-se que estan complint amb els requisits de l’ ATP i estar preparades per enfrontar sancions i mesures disciplinàries si no ho fan.

Un altre impacte important de l’ATP és que les empreses hauran de parar atenció als canvis en la regulació i les pràctiques de privacitat a Europa i Estats Units. L’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals, i això significa que qualsevol canvi en la regulació o les pràctiques de privacitat als Estats Units pot tenir un impacte en el compliment de l’ATP.

A més, l’ATP pot tenir un impacte en la reputació i la confiança de l’empresa. Els clients i els consumidors poden valorar cada vegada més la privacitat i la seguretat de les dades personals, i les empreses que no compleixin amb els requisits de l’ATP poden enfrontar crítiques i pèrdua de confiança per part dels seus clients i consumidors.

No obstant això, també hi ha alguns beneficis per a les empreses que compleixen amb els requisits de l’ATP. Per exemple, el compliment de l’ATP pot millorar la protecció de les dades personals i reduir el risc de violacions de dades, cosa que pot tenir un impacte positiu en la reputació de l’empresa i en la confiança dels clients i consumidors.

A més, el compliment de l’ATP pot ajudar les empreses a complir amb altres regulacions i estàndards de privacitat a tot el món. Molts països i regions tenen lleis i regulacions de privacitat similars a l’ATP.

En Resum

L’Acord no és ferm encara i potser passin mesos fins que es ratifiqui. Mentrestant, empreses com Meta ja han amenaçat de suspendre les seves transferències. Tenint en compte que Facebook, Instagram o Whatsapp pertanyen al grup, l’impacte per a usuaris, empreses i anunciants pot ser, en termes socials, econòmics i fins a polítics, d’una magnitud molt difícil de preveure.

En qualsevol cas, ¡cuideu les vostres transferències internacionals i cuideu-vos vosaltres!

MWC23, reconeixement facial i inquietuds de privacitat

per

No és cap secret que la tecnologia ens pot facilitar molt la vida a les persones. Per exemple, a l’hora entrar en el Mobile World Congress 2023. Arribes a l’entrada al mateix moment que uns altres centenars de ciutadans i la primera preocupació és imaginar-nos una hora fent cua en els mostradors d’acreditació. Però no, la primera agradable sorpresa és que no hi ha cua. Literal. Si has fet els deures i disposes del teu passi d’accés digital, pots entrar sense aturar-te mitjançant la tecnologia de reconeixement facial. Voilà!

Què es el MWC23?

Segons l’organització, el MWC és l’esdeveniment de connectivitat més gran i influent. I estic segur que ho és. Si, segons la RAE, la pornografia és la presentació oberta i crua del sexe que busca produir excitació en el receptor, podem qualificar l’espectacle del Congrés com de tecnogràfic. Busca provocar l’excitació en l’espectador a base de presentar-li oberta i cruament les més avançades tecnologies. I s’ha convertit en una orgia desenfrenada de llum, de color, d’imatges de proporcions gegantines, de sons, comunicacions, espectacles, relacions professionals, negoci i dades. Sobretot, dades. Desmesurades com a poc.

La qüestió

És molt simple. Hem de respondre a la pregunta següent: a canvi de què estem disposats a cedir, i en quina part, la sobirania de les nostres dades, la nostra sobirania digital.  

La nostra imatge en milers de fotografies, centenars de càmeres de vigilància o, fins i tot, en selfies fets en l’estand de Samsung. Les nostres dades, fins i tot biomètriques, escampades per centenars d’empreses que les faran servir, legítimament, per múltiples propòsits. Tot impulsat per les últimes tecnologies: Big Data, Intel·ligència Artificial, Machine learning, … de les quals encara no tenim una idea clara del seu abast. Fa feredat!

Política de Privacitat del MWC: que aixequi la mà qui l’hagi llegit.

Sí, s’han de llegir, com tot. I, com tot, no és llegeixen. Vagi per endavant que la Política de Privacitat compleix amb tots els requisits que imposa el RGPD. I sorteja força bé totes les dificultats que es presenten per regular l’ús de tantes dades i de naturalesa tant variada. Podríem posar-les, fins i tot, com a model per altres organitzacions.

Això no treu que si parem en algunes de les clàusules, aquestes resulten esglaiadores. Per exemple, la quantitat de dades que proporcionem voluntàriament (incloses les biomètriques del reconeixement facial), les informacions que es recullen automàticament i les que proporcionen terceres parts (a qui hem proporcionat voluntàriament la informació).

Passem després a veure amb qui comparteixen la informació i veiem que ho fan amb empreses afiliades, agents, venedors o proveïdors de serveis, compradors potencials i per imperatiu legal. I a més, amb qualsevol altre persona quan haguem consentit la divulgació.

I pel que fa la transferència internacional de dades (fora de l’Àrea Econòmica Europea, Suïssa i UK), les nostres dades biomètriques estan gestionades per una empresa amb base a Hong-Kong. I si es transfereixen a altres països no adequats, es fa amb el suport de Clàusules Contractuals Tipus aprovades per la Comissió Europea.

En fi, moltes parts mòbils (no és un acudit) en l’esquema. Moltes dades, de moltes persones i que gestionen moltes empreses en una varietat de circumstàncies. Definitivament, molt complex.

Val a dir, també, que ens ofereixen moltes maneres de controlar la nostra informació. Repeteixo, tot conforme a llei. I aquesta Política de Privacitat pot servir de model per altres texts de privacitat.

Què podem fer?

Doncs preocupar-nos nosaltres mateixos per la nostra privacitat. Està bé que les empreses se’n preocupin, és la seva obligació, però nosaltres no podem defugir de la nostra. La privacitat, ben entesa, comença per un mateix (com deia un vell anunci). I la nostra privacitat ha de ser activa, militant, disposats a defensar-la en qualsevol circumstància. No podem tenir cap expectativa de privacitat si nosaltres no som molt respectuosos amb ella. No pot ser d’altre manera.

I per passar a l’acció, el primer que necessitem és saber què sap Internet de nosaltres. Això ho podem fer gràcies al nostre Servei d’Empremta Digital recolzats per el nostre partner Youforget.me. A partir d’aquí, us ajudarem a reprendre allò que mai havíem d’haver perdut: la sobirania de les nostres dades.

De petit, els meus pares sempre m’advertien que no acceptés mai caramels de desconeguts. I ara, de gran, no faig una altre cosa tot el dia. Cuideu la vostra privacitat!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web