Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Privacitat sense límits?

per

La pregunta és, Què distingeix a las violacions de la privacitat d’altres danys? Això és el que planteja un paper americà, “Distinguishing privacy law: a critique of privacy as social taxonomy”.

La tesis que sostenen els autors és que durant el segle XX els estudiosos de la privacitat van intentar definir el concepte il·lusori de la privacitat. No van tenir èxit. Amb el canvi de mil·lenni, va arribar un nou enfoc: una taxonomia de de problemes de privacitat basada en el reconeixement social. Hem convertit el concepte amb un catàleg de casos abandonant la definició del seu objecte central. I ja és hora de repensar el concepte de privacitat en un entorn de informació complex i per què, donat un problema social –de la discriminació a la desinformació–, val la pena estudiar-ho en un marc de privacitat.

Privacitat

I què entenem per Privacitat? Doncs no tenim una definició pacífica. Però podem definir-la com el dret que tenim a preservar la nostra vida íntima (dret a l’honor, la intimitat i a la pròpia imatge com recull la nostra Constitució) i que no sigui accessible a altres sense el nostre consentiment. I aquesta definició inclou el concepte Privacitat Digital que és el be jurídic que la normativa de protecció de dades vol salvaguardar.

I la Privacitat Digital és el dret dels usuaris a protegir les seves dades a Internet y decidir quina informació personal poden veure els demés. I quina informació poden utilitzar i per què. És una expectativa legítima que tenim com persones de poder administrar la nostra “empremta digital”.  Ser, en definitiva, sobirans de les nostres dades. Ens hi juguem la nostra reputació digital, el nostre patrimoni intangible més important.

Privacitat sense límits?

La tecnologia evoluciona cada dia i planteja importants problemes de privacitat. Necessitem experiència per comprendre aquest problemes i trobar solucions imaginatives. Però la privacitat no hauria de prevaldre sobre qualsevol altre qüestió, de la mateixa manera que les altres qüestions no haurien de prevaldre automàticament sobre la privacitat. Ambdós interessos han de fer concessions i trobar un resultat equilibrat.

Nous reptes, noves solucions

Moltes tecnologies existents i gairebé totes les noves plantegen importants problemes de privacitat. Només cal veure, en aquest sentit, l’impacte que ha suposat ChatGPT i aplicacions similars. Ja hem vist respostes de tot tipus, des de prohibir-ne la seva utilització (per exemple, a Itàlia que ja han fet marxa enrere) fins a investigar-ne a fons com, per exemple, l’AEPD que ja va iniciar d’ofici actuacions d’investigació d’OpenAI, propietària de ChatGPT.

Davant els nous reptes, cal articular noves solucions. El RGPD promou la “privacitat per disseny”, es a dir, davant de qualsevol iniciativa considerar les implicacions de privacitat des del principi. Això ha de ser així sense convertir-se en guardians que impedeixin o menyscabin el desenvolupament empresarial.

Per què això no ha fet més que començar. Cal treballar plegats per trobar un equilibri entre el dret a la privacitat i la llibertat necessària perquè el món que coneixem no s’aturi amb una censura desbordada.

Cuideu-vos!

ChatGPT: Àngel o Dimoni

per

Així es titulava la sessió d’ahir de El Mirador Indiscret, unes sessions de debat que periòdicament organitza el Col·legi del Màrqueting i la Comunicació de Catalunya sobre temes d’actualitat i interès per els col·legiats.

I la d’ahir no podia ser més oportuna ni de més interès. Oportuna perquè ChatGPT és, sens dubte, la tecnologia del moment de la que tothom en parla. Només veient la velocitat en la taxa d’adopció (mes de 100 milions d’usuaris en dos mesos) ens en podem fer la idea. I d’interès, més que mai, per tota la professió: creatius, copys, directors d’art, … per les implicacions que tindrà en la seva feina.

Veient la inversió de Microsoft i la incorporació de ChatGPT en el seu cercador Bing podem pensar que això no ha fet més que començar. I de la importància que té el fenòmen, en Gerard Olivé va posar dos exemples molt recents.

El primer, el pànic de Google quan Microsoft va anunciar la incorporació que va ser èpic. Tot de sobte, la totpoderosa Google rebia una sotragada de dimensions difícils d’avaluar encara en el seu “core business”, el cercador. Tot d’una, sembla més interessant buscar a Bing amb ChatGPT que a Google. I ningú ho va a veure venir.

I el segon, la intensa aplicació de la intel·ligència artificial als seus processos de negoci per part de Shein, la distribuïdora tèxtil, que els ho dona una avantatge competitiva davant d’Inditex, H&M i d’altres competidors. El time to market resulta ser molt més competitiu, tant en temps com en disseny. La seva app va ser la mès descarregada en compres als Estats Units l’any passat. A tenir en compte.

I, és clar, després de glosar les meravelles de l’eina, i sense voler desinflar el soufflé, era necessari tocar el tema de la protecció de dades. Per això, Gina Tost (Secretaria de Polítiques Digitals de la Generalitat)  es va encarregar, des del punt de vista de l’Administració, de valorar la irrupció d’aquestes tecnologies, les amenaces que es preveuen, els drets i deures digitals afectats i, naturalment, de la importància del marc regulador i com s’està treballant en aquest sentit.

I en aquest sentit, hem d’assenyalar que el be jurídic a protegir és la Privacitat Digital. És el dret que tenim als usuaris de protegir les nostres dades a internet y decidir quina informació poden veure els demés, quina informació poden utilitzar i amb quina finalitat i com exercir els nostres drets. És una expectativa legítima que tenim com individus de poder administrar la nostra “empremta digital”, entesa com l’allau de dades personals que generem cada dia i que, en definitiva, determinen la nostra reputació digital.

Com dèiem al principi, això no ha fet més que començar. ChatGPT no és, ni molt menys, l’única eina d’intel·ligència artificial al nostre abast. Ara mateix les podem comptar per centenars, amb totes les derivacions imaginables. Fins i tot, ja apareixen feines tant específiques com la de “prompt engineer”,  aquell professional que desenvolupa i optimitza la comunicació amb els algoritmes per obtenir el millor resultat.

En front d’aquest tsunami tecnològic que se’ns ve a sobre, la normativa de protecció de dades és l’instrument al nostre abast per mantenir la sobirania de les nostres dades. Hem de tenir el control perquè, d’altre manera, caldrà repensar si el viatge val la pena.

Com sempre, cuideu les vostres dades i cuideu-vos!

“Sentir el control”. Això és tot el que es demana.

per

Segons l’últim Informe que l’empresa d’investigació de mercats Ipsos ha fet per Google, “Privacitat des del disseny: els beneficis de donar el control a la gent”, les empreses que basen els seus negocis en l’explotació de les dades personals dels usuaris comencen a valorar l’aplicació de polítiques de protecció de dades que permeti als usuaris tenir la percepció que les seves dades personals seran tractades de forma adequada.

Els usuaris prefereixen veure anuncis rellevants i útils i estan oberts a compartir les seves dades amb les marques, però volen sentir el control de quan ho fan. Millorar la sensació de control que la gent té sobre les seves dades és una manera poderosa perquè les marques generin confiança, augmentin l’eficàcia del màrqueting i obtinguin millors resultats.

Principals conclusions del Informe

  1. Proporcionar una experiència de privadesa positiva pot augmentar la quota de preferències de marca en un 49%.
    Després d’una experiència de privadesa positiva amb la seva marca de segona elecció, el 49% de les persones van dir que canviarien de la seva marca preferida a la segona marca.
  1. Equivocar-se en l’experiència de privadesa té un impacte negatiu tant en la confiança com en les preferències de marca.
    Per a molts dels participants en l’estudi, les experiències de privadesa que no tenien transparència o que no proporcionaven coneixement i/o autonomia al client eren molt perjudicials, tant per a la confiança de la marca com per les preferències dels participants.
  1. Hi ha poderoses pràctiques de privacitat que les marques poden desplegar per augmentar les sensacions de control, i les combinacions més efectives tenen un impacte positiu notable en alguna cosa més que els sentiments de control.
    Per obtenir el impacte positiu més gran en les sensacions de control, les marques haurien de desplegar una combinació provada de pràctiques que creïn experiències de privadesa Significatives, Memorables i Manejables.

L’estudi suggereix que les marques que poden oferir aquestes experiències veuran, amb el pas del temps, un efecte bola de neu positiu: la gent sentirà que té el control, cosa que augmenta la confiança de la marca i augmenta les preferències de la marca. Les marques que descuidin la privadesa corren el risc de l’escenari contrari. El camí cap a l’èxit és clar: adoptar pràctiques basades en les tres característiques mencionades (Significatives, Memorables i Manejables)  per donar a les persones una sensació de control i millorar l’eficàcia del màrqueting.

“Sentir” el control

Per als usuaris, “sentir” el control és alguna cosa més que tenir el control. Les eines de privadesa que permeten a les persones canviar les seves preferències de cookies i donar-se de baixa del màrqueting per correu electrònic poden ajudar-los a mantenir control de les seves dades. Però aquestes eines no són suficients per proporcionar als clients la sensació més substancial de control que necessiten per confiar en una marca. Els clients també volen saber quan i per què comparteixen la seva informació i entendre els avantatges que rebran de fer-ho.

Per concloure, direm que les marques tenen que fer un esforç perquè el client tingui la percepció de que té el control sobre la seva privadesa i que, naturalment, el tingui. Si sabem quines dades compartim i com ens beneficia a nosaltres fer-ho, l’empresa té que ser lleial amb nosaltres. A canvi, tindrà la nostra confiança, el que es traduirà, a ben segur, en millors vendes.

I, com sempre, cuideu-vos!

No tot seran cookies

per

A més dels cookies o el píxel de Facebook, hi ha altres tècniques per intentar predir els interessos dels usuaris i fer que comprin el producte, que és el final el que interessa a les empreses. Entre aquestes tècniques apuntem avui l’anàlisi de comportament que té, cada dia més, un gran predicament en l’àrea de ciberseguretat, la salut i la seguretat de les persones i, com no, en el camp dels serveis i el màrqueting.

L’anàlisi de comportament d’usuaris (UEBA, per les seves sigles en anglès) que es fa servir en els serveis d’Internet recullen grans quantitats de dades d’usuaris o entitats, aplicant, gairebé sempre, tècniques de machine learning  (aprenentatge automàtic o d’Intel·ligència Artificial (IA) per generar models de comportament.

I aquesta tècnica també es pot aplicar en l’àmbit del màrqueting per entendre millor el comportament dels consumidors i millorar l’experiència de l’usuari al lloc web o l’aplicació mòbil. No obstant això, la implementació de UEBA en el màrqueting també planteja preocupacions sobre la privacitat i protecció de dades personals dels usuaris.

L’anàlisi de comportament d’usuaris en el màrqueting implica l’ús de dades de registre d’esdeveniments per entendre com els usuaris interactuen amb el lloc web o l’aplicació mòbil. A través de l’anàlisi d’aquestes dades, els especialistes en màrqueting poden identificar patrons de comportament dels usuaris, incloent com interactuen amb la pàgina, quins productes o serveis busquen, quins continguts els interessen, entre d’altres.

Aquestes dades poden ser extremadament valuoses per a les empreses, ja que els permeten personalitzar l’ experiència de l’ usuari i oferir contingut i ofertes que siguin més rellevants per a ells. Per exemple, un lloc web de comerç electrònic pot utilitzar l’anàlisi de comportament dels usuaris per identificar els productes que els usuaris estan buscant amb més freqüència i oferir ofertes especials en aquests productes.

No obstant això, l’ús d’UEBA en el màrqueting també planteja desafiaments significatius en termes de privacitat i protecció de dades personals. Les dades de registre d’esdeveniments utilitzats en l’anàlisi de comportament d’usuaris poden incloure informació personal i confidencial, com adreces IP, informació de navegació, informació de compres i altra informació relacionada amb l’activitat de l’usuari en el lloc web o l’aplicació mòbil.

Com sempre, dos cares de la moneda. Una avantatge tecnològica que té la creu en la privacitat de l’usuari. Recorda l’AEPD que els principis del RGPD són d’obligat compliment, incloent-hi el principi de transparència. I moltes vegades els usuaris no som informats degudament.

Cal que estiguem sempre alerta. Cuideu-vos!

A la tercera, va la vençuda?

per

L’Acord Transatlàntic de Protecció de Dades (ATP) és un nou marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord va ser anunciat el febrer del 2021, després de mesos de negociacions, i busca proporcionar un marc actualitzat i més sòlid per a la transferència de dades personals.

L’ Acord

L’ ATP es basa en un conjunt de normes i compromisos que els proveïdors de serveis han de complir per garantir que les dades personals siguin tractades de manera justa i transparent. Aquestes normes inclouen l ‘ obligació dels proveïdors de serveis de proporcionar informació clara i concisa sobre com s’ utilitzaran les dades personals, així com el dret dels individus a accedir i rectificar les seves dades personals.

L’ATP també estableix una sèrie de controls i mesures de seguretat per protegir les dades personals dels ciutadans europeus. Aquestes mesures inclouen l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, així com l’ obligació de notificar a les autoritats pertinents en cas d’ una violació de dades.

A més, l’ATP se centra en la supervisió i el compliment. L’ ATP estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses que no compleixin amb els requisits de l’ ATP s’ enfrontaran a sancions i mesures disciplinàries.

Una de les principals diferències entre l’ATP i els seus predecessors és que l’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals. Aquests compromisos inclouen la promesa que les autoritats dels Estats Units només podran accedir a les dades personals dels ciutadans europeus en casos específics i limitats, i només si s’han esgotat altres opcions. A més, el govern dels Estats Units s’ha compromès a crear un mecanisme de recurs independent perquè els ciutadans europeus puguin presentar queixes i buscar reparació en cas que es produeixin violacions de dades.

La falta d’ acord anterior

L’acord anterior, Privacy Shield (Escut de Privacitat), va ser dissenyat per proporcionar un marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord es basava en una sèrie de compromisos i garanties per part del govern dels Estats Units en relació amb la protecció de dades personals.

No obstant això, el juliol del 2020, el Tribunal de Justícia de la Unió Europea (TJUE) va declarar la invalidesa del Privacy Shield, argumentant que el marc no garantia adequadament la protecció de les dades personals dels ciutadans europeus en mans de les empreses estatunidenques.

La decisió va ser rebuda amb preocupació per les empreses que depenen de la transferència de dades entre Europa i Estats Units per dur a terme les seves operacions. Les empreses que no van poder complir amb els requisits de Privacy Shield es van veure obligades a suspendre o restringir les seves operacions a Europa.

L’ impacte en les empreses

L’impacte més obvi de l’ATP a les empreses és que hauran de complir amb nous requisits en relació amb la protecció de dades personals. Això pot implicar la revisió i actualització de les polítiques i pràctiques de privacitat, la implementació de noves mesures de seguretat, la contractació de personal addicional i l’ adopció de noves tecnologies per garantir el compliment de l’ ATP.

Les empreses també hauran de garantir que les mesures de seguretat tècniques i organitzatives que implementen per protegir les dades personals siguin adequades i eficaces. L’ ATP estableix l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, i això significa que les empreses hauran de revisar i actualitzar les seves mesures de seguretat per garantir que siguin suficients per protegir les dades personals.

L‘ATP també estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses hauran d’ assegurar-se que estan complint amb els requisits de l’ ATP i estar preparades per enfrontar sancions i mesures disciplinàries si no ho fan.

Un altre impacte important de l’ATP és que les empreses hauran de parar atenció als canvis en la regulació i les pràctiques de privacitat a Europa i Estats Units. L’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals, i això significa que qualsevol canvi en la regulació o les pràctiques de privacitat als Estats Units pot tenir un impacte en el compliment de l’ATP.

A més, l’ATP pot tenir un impacte en la reputació i la confiança de l’empresa. Els clients i els consumidors poden valorar cada vegada més la privacitat i la seguretat de les dades personals, i les empreses que no compleixin amb els requisits de l’ATP poden enfrontar crítiques i pèrdua de confiança per part dels seus clients i consumidors.

No obstant això, també hi ha alguns beneficis per a les empreses que compleixen amb els requisits de l’ATP. Per exemple, el compliment de l’ATP pot millorar la protecció de les dades personals i reduir el risc de violacions de dades, cosa que pot tenir un impacte positiu en la reputació de l’empresa i en la confiança dels clients i consumidors.

A més, el compliment de l’ATP pot ajudar les empreses a complir amb altres regulacions i estàndards de privacitat a tot el món. Molts països i regions tenen lleis i regulacions de privacitat similars a l’ATP.

En Resum

L’Acord no és ferm encara i potser passin mesos fins que es ratifiqui. Mentrestant, empreses com Meta ja han amenaçat de suspendre les seves transferències. Tenint en compte que Facebook, Instagram o Whatsapp pertanyen al grup, l’impacte per a usuaris, empreses i anunciants pot ser, en termes socials, econòmics i fins a polítics, d’una magnitud molt difícil de preveure.

En qualsevol cas, ¡cuideu les vostres transferències internacionals i cuideu-vos vosaltres!

MWC23, reconeixement facial i inquietuds de privacitat

per

No és cap secret que la tecnologia ens pot facilitar molt la vida a les persones. Per exemple, a l’hora entrar en el Mobile World Congress 2023. Arribes a l’entrada al mateix moment que uns altres centenars de ciutadans i la primera preocupació és imaginar-nos una hora fent cua en els mostradors d’acreditació. Però no, la primera agradable sorpresa és que no hi ha cua. Literal. Si has fet els deures i disposes del teu passi d’accés digital, pots entrar sense aturar-te mitjançant la tecnologia de reconeixement facial. Voilà!

Què es el MWC23?

Segons l’organització, el MWC és l’esdeveniment de connectivitat més gran i influent. I estic segur que ho és. Si, segons la RAE, la pornografia és la presentació oberta i crua del sexe que busca produir excitació en el receptor, podem qualificar l’espectacle del Congrés com de tecnogràfic. Busca provocar l’excitació en l’espectador a base de presentar-li oberta i cruament les més avançades tecnologies. I s’ha convertit en una orgia desenfrenada de llum, de color, d’imatges de proporcions gegantines, de sons, comunicacions, espectacles, relacions professionals, negoci i dades. Sobretot, dades. Desmesurades com a poc.

La qüestió

És molt simple. Hem de respondre a la pregunta següent: a canvi de què estem disposats a cedir, i en quina part, la sobirania de les nostres dades, la nostra sobirania digital.  

La nostra imatge en milers de fotografies, centenars de càmeres de vigilància o, fins i tot, en selfies fets en l’estand de Samsung. Les nostres dades, fins i tot biomètriques, escampades per centenars d’empreses que les faran servir, legítimament, per múltiples propòsits. Tot impulsat per les últimes tecnologies: Big Data, Intel·ligència Artificial, Machine learning, … de les quals encara no tenim una idea clara del seu abast. Fa feredat!

Política de Privacitat del MWC: que aixequi la mà qui l’hagi llegit.

Sí, s’han de llegir, com tot. I, com tot, no és llegeixen. Vagi per endavant que la Política de Privacitat compleix amb tots els requisits que imposa el RGPD. I sorteja força bé totes les dificultats que es presenten per regular l’ús de tantes dades i de naturalesa tant variada. Podríem posar-les, fins i tot, com a model per altres organitzacions.

Això no treu que si parem en algunes de les clàusules, aquestes resulten esglaiadores. Per exemple, la quantitat de dades que proporcionem voluntàriament (incloses les biomètriques del reconeixement facial), les informacions que es recullen automàticament i les que proporcionen terceres parts (a qui hem proporcionat voluntàriament la informació).

Passem després a veure amb qui comparteixen la informació i veiem que ho fan amb empreses afiliades, agents, venedors o proveïdors de serveis, compradors potencials i per imperatiu legal. I a més, amb qualsevol altre persona quan haguem consentit la divulgació.

I pel que fa la transferència internacional de dades (fora de l’Àrea Econòmica Europea, Suïssa i UK), les nostres dades biomètriques estan gestionades per una empresa amb base a Hong-Kong. I si es transfereixen a altres països no adequats, es fa amb el suport de Clàusules Contractuals Tipus aprovades per la Comissió Europea.

En fi, moltes parts mòbils (no és un acudit) en l’esquema. Moltes dades, de moltes persones i que gestionen moltes empreses en una varietat de circumstàncies. Definitivament, molt complex.

Val a dir, també, que ens ofereixen moltes maneres de controlar la nostra informació. Repeteixo, tot conforme a llei. I aquesta Política de Privacitat pot servir de model per altres texts de privacitat.

Què podem fer?

Doncs preocupar-nos nosaltres mateixos per la nostra privacitat. Està bé que les empreses se’n preocupin, és la seva obligació, però nosaltres no podem defugir de la nostra. La privacitat, ben entesa, comença per un mateix (com deia un vell anunci). I la nostra privacitat ha de ser activa, militant, disposats a defensar-la en qualsevol circumstància. No podem tenir cap expectativa de privacitat si nosaltres no som molt respectuosos amb ella. No pot ser d’altre manera.

I per passar a l’acció, el primer que necessitem és saber què sap Internet de nosaltres. Això ho podem fer gràcies al nostre Servei d’Empremta Digital recolzats per el nostre partner Youforget.me. A partir d’aquí, us ajudarem a reprendre allò que mai havíem d’haver perdut: la sobirania de les nostres dades.

De petit, els meus pares sempre m’advertien que no acceptés mai caramels de desconeguts. I ara, de gran, no faig una altre cosa tot el dia. Cuideu la vostra privacitat!

Temps regirats per a Google i per a tothom

per

Setmana intensa per Google i Microsoft, el que vol dir setmana intensa per quasi bé tothom. D’una banda, Micrososoft presentava la nova versió de Bing (el seu buscador) amb ChatGPT que promet ser una revolució important. D’altre, Google, en una reunió apressada, intentava contraprogramar l’anunci de Microsoft amb tant poc èxit que les seves accions van caure fins un 10%.

Però, què passa exactament?

Passa que la integració de ChapGPT amb Bing suposa una greu amenaça per Google per que ataca directament a la seva funcionalitat core: les cerques.

I què es ChatGPT?

La tecnologia avança cada dia de forma desaforada però, ara mateix, hi ha dos eines que seran absolutament disruptives: la Intel·ligència Artificial (AI, per les seves sigles en anglès) i el Metavers (del que en parlarem un altre dia).

En el camp de l’AI, el producte del moment és ChatGPT. Es tracta d’un intel·ligència artificial entrenada per mantenir conversacions. De forma que només cal fer-li preguntes en llenguatge natural i et proporciona les respostes. I les respostes que proporciona són encertades i completes. A més, les expressions són molt naturals i la informació prou precisa.

Fins i tot, aquesta AI té sentit del context i recorda tota la conversa mantinguda, de manera que si li fas una pregunta relacionada amb l’explicació donada, ho entendrà sense tenir que tornar a començar.

Alguns exemples de les possibilitats de ChatGPT

Servei al client automatitzat, generació d’informes, anàlisis de sentiment, gestió del coneixement, traducció automàtica, generar cançons o poemes, imitar la forma d’escriure d’una altre persona, acudits, llistes de pàgines web, trivials, crear plantilles, crear exàmens, anàlisis de productes, comparador, fórmules d’Excel, consells de salut, suggeriment de jocs, llibres, pel·licules o series, … Ara mateix i de veritat, el límit és la imaginació.

I per què tant d’enrenou amb Google?

Perquè Microsoft l’ha incorporat en el seu buscador Bing. I això posa en una disjuntiva molt complicada a Google. Si no ho incorpora en el seu buscador, pot ser que milions d’usuaris es passin a Bing (que fins ara tenia una quota ridícula) perquè prefereixin les respostes acabades de ChatGPT (per exemple, per entregar un treball a l’escola fet en uns minuts) que no buscar a Google i rebre una resposta de milions de pàgines trobades que suposa tenir que esbrinar quines són les interessants per, després, extraure la informació i resumir-la.

I si Google incorpora Bard, el seu chat de AI, també suposa un problema. Si els seus usuaris ho fan servir en comptes de fer la cerca, què passarà amb els anunciants i el SEO? Es posa en perill tota una indústria que representa una fabulosa facturació anual.

Conclusió

ChatGPT pot haver començat a cavar la tomba de Google. I, darrera de Google, hi anirem tots (no a la tomba, és clar, però venen temps interessants). Dona igual que siguis advocat, escriptor, dissenyador, professors, venedors, estudiants, cantant, compositor i una llarga llista de professions i activitats humanes que haurem de reinterpretar.

I, ara, afegiu-li el Metavers a l’equació i tindrem un panorama absolutament disruptiu amb conseqüències difícils de preveure.

Com sempre, cuideu-vos (també en el Metavers del que en parlarem un altre dia)!

A més de l’affaire Shakira-Piqué, al món passen més coses

per

Per exemple, demà celebrem el Dia Europeu de la Protecció de Dades. El 2022 ha estat de gran activitat legislativa que afectarà a les empreses en aquesta matèria ja en aquest 2023. En recordarem les principals i apuntarem alguns detalls.

En ple tsunami de la intel·ligència artificial –amb ChaptGPT com a màxim exponent– he tingut la temptació d’escriure aquest post fent servir aquesta eina que ara està de moda. No ho he fet, naturalment, per moltes raons. Digueu-n’hi  ètica, dignitat o vergonya professional. Però l’important es entendre que aquesta tecnologia, com altres, tindrà un impacte enorme en la nostra societat. I que la Protecció de Dades pren un paper molt destacat en defensa de la nostra privacitat. I, com es diu habitualment, és cosa de tots.

Podem posar alguns exemples. Microsoft treu al mercat VALL-E, una IA com ChatGPT que imita la teva veu escoltant-te tant sols durant 3 segons. Imita la veu, la cadència, fins i tot, l’ambient. I per fer-ho fàcil (i per intentar augmentar quota), Microsoft vol integrar aquestes eines en el seu cercador Bing. I, és clar, això ha posat dels nervis a Google.

Sigui com sigui, està clar que les tecnologies avancen de forma exponencial i, cada dia més, tenen un fort impacte en la nostra privacitat. Per això tots, –administracions, legisladors, operadors jurídics, empreses i, per descomptat, els usuaris– hem de fer un esforç permanent perquè aquest nivell de protecció aconseguit amb el RGPD no tan sols es mantingui, si no que vagi a més.

Avenços normatius

Aquest 2022, el legislador ens ha ajudat aprovant una sèrie de mesures, totes encaminades a aconseguir, al menys intentar-ho, anar a la par amb les tecnologies. Recordem les següents:

  • Llei Europea d’Intel·ligència Artificial (aplicable a tots els usos que afectin a ciutadans de la UE).
  • Llei de Mercats Digitals i la Llei de Serveis Digitals (la primera, per vigilar a les grans plataformes digitals (“gatekeepers”) i la segona, per crear un entorn online més segur i responsable).
  • Nou acord de protecció de dades entre Europa i EEUU (per substituir el Privacy Shield).
  • Directiva NIS 2 (mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la UE).
  • Proposta de Reglament de Ciberseguretat en productes amb elements digitals (per establir requisits de ciberseguretat en tota la UE per una amplia gama de productes de software, hardware, navegadors, sistemes operatius i una llarga llista de solucions de processament de dades en remot).

Totes les iniciatives són molt interessants i van encaminades a la protecció dels usuaris online. En propers posts entrarem en més detall en cadascuna de les normatives.

Recomanacions

Com dèiem al principi, la protecció de dades és cosa de tots. Nostra, també. Per tant, demà 28 de gener, és un bon moment per revisar totes les nostres rutines de protecció i seguretat. I, si necessitem ajuda, INCIBE.

Com sempre, cuideu-vos i cuidem les nostres dades!

Protecció de dades: hi ha que filar prim sempre!

per

En totes les àrees del dret hem de ser extremadament rigorosos com correspon però sembla que la protecció de dades sigui la solterona (o solteró) de l’ordenament jurídic. Així, és una branca del dret, en el marc de la privacitat, a la qual se’l convida amb desgana, es tolera perquè no hi ha més remei i s’obeeix cada dia més, sobretot, per les sancions.

Què ha passat aquesta vegada?

Doncs que l’Agència Espanyola de Protecció de Dades ha imposat una multa a una empresa de missatgeria per lliurar una comanda a un veí del destinatari, sense la preceptiva autorització. Tant simple com això amb un resultat dolorós.

Els fets

Des de sempre s’han lliurat paquets a domicili. L’empresa estatal de Correos, sense anar més lluny, ho ve fent des de el mateix dia que es va crear. Però, es clar, amb el començament de la pandèmia l’activitat es va disparar de maner exponencial.

Una persona compra per internet un producte a Media Markt que es lliurat per l’empresa de missatgeria UPS. El repartidor, al no trobar el destinatari en el seu domicili, decideix lliurar-lo a un veí, sense tenir autorització.

L’afectat reclama primerament a Media Markt però l’AEPD considera que és UPS el responsable de garantir les dades del client.

Què diu l’Agència?

L’Agència considera en la seva resolució que la conducta del repartidor ha vulnerat l’article 5.1.f) i l’article 32 del Reglament General de Protecció de Dades (RGPD) “al violar el principi de integritat i confidencialitat, així com no adoptar les mesures de seguretat necessàries per garantir la protecció de les dades de caràcter personal dels seus clients”.

El resultat

Doncs l’Agència ha imposat a UPS una multa de 50.000€ per la primera infracció y de 20.000€, per la segona. Es a dir, considera l’AEPD que l’empresa denunciada ha cedit les dades del reclamant a un tercer, sense el seu consentiment.

Ara ve Nadal …

Doncs sí, ara venen les festes de Nadal, període en el que el repartiment de paqueteria arriba als seus màxims de l’any. I a això cal afegir-hi les presses, les comandes d’última hora i el festival de les devolucions. I tenir en compte que, moltes vegades per bona fe o amb ganes d’ajudar, podem estar comprometent dades personals. I si el que deixen a casa del veí és un pernil, doncs encara. Però si el que deixen és l’últim model de “satisfyer” en un embolcall poc discret, potser, a més, ens enfadarem.

Com sempre, aneu en compte amb els paquets i cuideu-vos!

I ara arriba el (maleït) currículum!

per

Un cop més, una empresa, concretament un despatx d’advocats, ha estat sancionada per incomplir el RGPD en el tractament del currículum d’un candidat. El resultat? una sanció de 10.000 €. No és la primera, no serà l’última.

Ja hem parlat altres vegades del tema currículum. Tant empreses com candidats parteixen de premisses equivocades, obsoletes o directament falses. Els candidats, enviant currículums a tort i a dret, sense reparar que estan exposant les seves dades sense control; les empreses, en més casos dels desitjables, tractant els currículums sense la cura necessària per falta de coneixements, protocols i sovint, d’empatia vers el candidat.

Si hi ha un moment a la vida en què exposem nombroses dades personals, aquest és quan lliurem el currículum a una empresa amb la finalitat que ens contractin. Com  candidats hem d’exigir que les nostres dades es tractin degudament (per la qual cosa ajudaria conèixer mínimament la normativa). I com empresa, faltaria més, hem de complir escrupolosament amb el RGPD perquè és llei i perquè és el tracte correcte amb les persones.

Dues parts que haurien d’estar en equilibri. El candidat vol, òbviament, que el contractin i aconseguir un lloc de treball d’acord amb els seus mèrits i l’empresa vol contractar talent que li aporti valor.
Fem, per tant, que, independentment del resultat, l’experiència resulti satisfactòria per tothom.

Els fets

El reclamant va enviar el currículum en resposta a una oferta de treball i va ser convocada per una entrevista, sense informa-la en cap moment del nom de l’empresa ni cap dada identificativa.

Al arribar a la sala de l’entrevista, l’entrevistador va entrar amb el currículum de la candidata imprès. No se li va advertir del tractament que es pensava donar a les dades personals, ni del tractament que ja s’havia fet. No es va oferir cap tipus d’informació en compliment del RGPD.

L’única manera de saber qui la va entrevistar va ser gràcies a unes enganxines que hi havia dins l’oficina. A més, a la web corporativa tampoc consta cap informació relativa al RGPD.

Les consideracions de l’AEPD

Doncs segons l’AEPD, el despatx va obtenir dades personals dels usuaris de la pàgina web sense consentiment previ, en un formulari on introduir nom, correu i assumpte i pitjant l’opció “Enviar” per enviar-lo, sense més requisits.

Pel que fa a la Política de Privacitat, ens trobem que es proporciona una informació totalment insuficient, mancant, per exemple, la identitat i dades de contacte del responsable; les dades de contacte del delegat de protecció de dades, en el seu cas; els destinataris de les dades personals i de la informació necessària per exercir els drets que assisteixen als usuaris i com i on exercir-los.

Què hem de fer?

La llista d’incompliments del despatx dona per escriure un llibre, sense comptar que la conducta és la d’un despatx d’avocats que, per la seva naturalesa, hauria de posar-hi més cura en el tractament de les dades personals.

La nostra recomanació és que l’empresa disposi, al menys, d’un Protocol de tractament del CV (des de la publicació de l’oferta fins a la desestimació del candidat) i un conjunt de documents bàsics que permetin recollir el consentiment per el tractament i per l’entrevista de treball y circulars informatives del tractament (i del no tractament). I recordar que si la selecció es fa a través d’un portal d’ocupació o una agència de col·locació serà necessari tenir firmat el preceptiu contracte d’encarregat de tractament.

Tot això, en el benentès que l’empresa està degudament adequada a la normativa de Protecció de Dades. Si no, estarem incomplint i no servirà de res.

Com sempre, cuideu els currículums i cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web