Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

A la tercera, va la vençuda?

per

L’Acord Transatlàntic de Protecció de Dades (ATP) és un nou marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord va ser anunciat el febrer del 2021, després de mesos de negociacions, i busca proporcionar un marc actualitzat i més sòlid per a la transferència de dades personals.

L’ Acord

L’ ATP es basa en un conjunt de normes i compromisos que els proveïdors de serveis han de complir per garantir que les dades personals siguin tractades de manera justa i transparent. Aquestes normes inclouen l ‘ obligació dels proveïdors de serveis de proporcionar informació clara i concisa sobre com s’ utilitzaran les dades personals, així com el dret dels individus a accedir i rectificar les seves dades personals.

L’ATP també estableix una sèrie de controls i mesures de seguretat per protegir les dades personals dels ciutadans europeus. Aquestes mesures inclouen l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, així com l’ obligació de notificar a les autoritats pertinents en cas d’ una violació de dades.

A més, l’ATP se centra en la supervisió i el compliment. L’ ATP estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses que no compleixin amb els requisits de l’ ATP s’ enfrontaran a sancions i mesures disciplinàries.

Una de les principals diferències entre l’ATP i els seus predecessors és que l’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals. Aquests compromisos inclouen la promesa que les autoritats dels Estats Units només podran accedir a les dades personals dels ciutadans europeus en casos específics i limitats, i només si s’han esgotat altres opcions. A més, el govern dels Estats Units s’ha compromès a crear un mecanisme de recurs independent perquè els ciutadans europeus puguin presentar queixes i buscar reparació en cas que es produeixin violacions de dades.

La falta d’ acord anterior

L’acord anterior, Privacy Shield (Escut de Privacitat), va ser dissenyat per proporcionar un marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord es basava en una sèrie de compromisos i garanties per part del govern dels Estats Units en relació amb la protecció de dades personals.

No obstant això, el juliol del 2020, el Tribunal de Justícia de la Unió Europea (TJUE) va declarar la invalidesa del Privacy Shield, argumentant que el marc no garantia adequadament la protecció de les dades personals dels ciutadans europeus en mans de les empreses estatunidenques.

La decisió va ser rebuda amb preocupació per les empreses que depenen de la transferència de dades entre Europa i Estats Units per dur a terme les seves operacions. Les empreses que no van poder complir amb els requisits de Privacy Shield es van veure obligades a suspendre o restringir les seves operacions a Europa.

L’ impacte en les empreses

L’impacte més obvi de l’ATP a les empreses és que hauran de complir amb nous requisits en relació amb la protecció de dades personals. Això pot implicar la revisió i actualització de les polítiques i pràctiques de privacitat, la implementació de noves mesures de seguretat, la contractació de personal addicional i l’ adopció de noves tecnologies per garantir el compliment de l’ ATP.

Les empreses també hauran de garantir que les mesures de seguretat tècniques i organitzatives que implementen per protegir les dades personals siguin adequades i eficaces. L’ ATP estableix l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, i això significa que les empreses hauran de revisar i actualitzar les seves mesures de seguretat per garantir que siguin suficients per protegir les dades personals.

L‘ATP també estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses hauran d’ assegurar-se que estan complint amb els requisits de l’ ATP i estar preparades per enfrontar sancions i mesures disciplinàries si no ho fan.

Un altre impacte important de l’ATP és que les empreses hauran de parar atenció als canvis en la regulació i les pràctiques de privacitat a Europa i Estats Units. L’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals, i això significa que qualsevol canvi en la regulació o les pràctiques de privacitat als Estats Units pot tenir un impacte en el compliment de l’ATP.

A més, l’ATP pot tenir un impacte en la reputació i la confiança de l’empresa. Els clients i els consumidors poden valorar cada vegada més la privacitat i la seguretat de les dades personals, i les empreses que no compleixin amb els requisits de l’ATP poden enfrontar crítiques i pèrdua de confiança per part dels seus clients i consumidors.

No obstant això, també hi ha alguns beneficis per a les empreses que compleixen amb els requisits de l’ATP. Per exemple, el compliment de l’ATP pot millorar la protecció de les dades personals i reduir el risc de violacions de dades, cosa que pot tenir un impacte positiu en la reputació de l’empresa i en la confiança dels clients i consumidors.

A més, el compliment de l’ATP pot ajudar les empreses a complir amb altres regulacions i estàndards de privacitat a tot el món. Molts països i regions tenen lleis i regulacions de privacitat similars a l’ATP.

En Resum

L’Acord no és ferm encara i potser passin mesos fins que es ratifiqui. Mentrestant, empreses com Meta ja han amenaçat de suspendre les seves transferències. Tenint en compte que Facebook, Instagram o Whatsapp pertanyen al grup, l’impacte per a usuaris, empreses i anunciants pot ser, en termes socials, econòmics i fins a polítics, d’una magnitud molt difícil de preveure.

En qualsevol cas, ¡cuideu les vostres transferències internacionals i cuideu-vos vosaltres!

MWC23, reconeixement facial i inquietuds de privacitat

per

No és cap secret que la tecnologia ens pot facilitar molt la vida a les persones. Per exemple, a l’hora entrar en el Mobile World Congress 2023. Arribes a l’entrada al mateix moment que uns altres centenars de ciutadans i la primera preocupació és imaginar-nos una hora fent cua en els mostradors d’acreditació. Però no, la primera agradable sorpresa és que no hi ha cua. Literal. Si has fet els deures i disposes del teu passi d’accés digital, pots entrar sense aturar-te mitjançant la tecnologia de reconeixement facial. Voilà!

Què es el MWC23?

Segons l’organització, el MWC és l’esdeveniment de connectivitat més gran i influent. I estic segur que ho és. Si, segons la RAE, la pornografia és la presentació oberta i crua del sexe que busca produir excitació en el receptor, podem qualificar l’espectacle del Congrés com de tecnogràfic. Busca provocar l’excitació en l’espectador a base de presentar-li oberta i cruament les més avançades tecnologies. I s’ha convertit en una orgia desenfrenada de llum, de color, d’imatges de proporcions gegantines, de sons, comunicacions, espectacles, relacions professionals, negoci i dades. Sobretot, dades. Desmesurades com a poc.

La qüestió

És molt simple. Hem de respondre a la pregunta següent: a canvi de què estem disposats a cedir, i en quina part, la sobirania de les nostres dades, la nostra sobirania digital.  

La nostra imatge en milers de fotografies, centenars de càmeres de vigilància o, fins i tot, en selfies fets en l’estand de Samsung. Les nostres dades, fins i tot biomètriques, escampades per centenars d’empreses que les faran servir, legítimament, per múltiples propòsits. Tot impulsat per les últimes tecnologies: Big Data, Intel·ligència Artificial, Machine learning, … de les quals encara no tenim una idea clara del seu abast. Fa feredat!

Política de Privacitat del MWC: que aixequi la mà qui l’hagi llegit.

Sí, s’han de llegir, com tot. I, com tot, no és llegeixen. Vagi per endavant que la Política de Privacitat compleix amb tots els requisits que imposa el RGPD. I sorteja força bé totes les dificultats que es presenten per regular l’ús de tantes dades i de naturalesa tant variada. Podríem posar-les, fins i tot, com a model per altres organitzacions.

Això no treu que si parem en algunes de les clàusules, aquestes resulten esglaiadores. Per exemple, la quantitat de dades que proporcionem voluntàriament (incloses les biomètriques del reconeixement facial), les informacions que es recullen automàticament i les que proporcionen terceres parts (a qui hem proporcionat voluntàriament la informació).

Passem després a veure amb qui comparteixen la informació i veiem que ho fan amb empreses afiliades, agents, venedors o proveïdors de serveis, compradors potencials i per imperatiu legal. I a més, amb qualsevol altre persona quan haguem consentit la divulgació.

I pel que fa la transferència internacional de dades (fora de l’Àrea Econòmica Europea, Suïssa i UK), les nostres dades biomètriques estan gestionades per una empresa amb base a Hong-Kong. I si es transfereixen a altres països no adequats, es fa amb el suport de Clàusules Contractuals Tipus aprovades per la Comissió Europea.

En fi, moltes parts mòbils (no és un acudit) en l’esquema. Moltes dades, de moltes persones i que gestionen moltes empreses en una varietat de circumstàncies. Definitivament, molt complex.

Val a dir, també, que ens ofereixen moltes maneres de controlar la nostra informació. Repeteixo, tot conforme a llei. I aquesta Política de Privacitat pot servir de model per altres texts de privacitat.

Què podem fer?

Doncs preocupar-nos nosaltres mateixos per la nostra privacitat. Està bé que les empreses se’n preocupin, és la seva obligació, però nosaltres no podem defugir de la nostra. La privacitat, ben entesa, comença per un mateix (com deia un vell anunci). I la nostra privacitat ha de ser activa, militant, disposats a defensar-la en qualsevol circumstància. No podem tenir cap expectativa de privacitat si nosaltres no som molt respectuosos amb ella. No pot ser d’altre manera.

I per passar a l’acció, el primer que necessitem és saber què sap Internet de nosaltres. Això ho podem fer gràcies al nostre Servei d’Empremta Digital recolzats per el nostre partner Youforget.me. A partir d’aquí, us ajudarem a reprendre allò que mai havíem d’haver perdut: la sobirania de les nostres dades.

De petit, els meus pares sempre m’advertien que no acceptés mai caramels de desconeguts. I ara, de gran, no faig una altre cosa tot el dia. Cuideu la vostra privacitat!

Temps regirats per a Google i per a tothom

per

Setmana intensa per Google i Microsoft, el que vol dir setmana intensa per quasi bé tothom. D’una banda, Micrososoft presentava la nova versió de Bing (el seu buscador) amb ChatGPT que promet ser una revolució important. D’altre, Google, en una reunió apressada, intentava contraprogramar l’anunci de Microsoft amb tant poc èxit que les seves accions van caure fins un 10%.

Però, què passa exactament?

Passa que la integració de ChapGPT amb Bing suposa una greu amenaça per Google per que ataca directament a la seva funcionalitat core: les cerques.

I què es ChatGPT?

La tecnologia avança cada dia de forma desaforada però, ara mateix, hi ha dos eines que seran absolutament disruptives: la Intel·ligència Artificial (AI, per les seves sigles en anglès) i el Metavers (del que en parlarem un altre dia).

En el camp de l’AI, el producte del moment és ChatGPT. Es tracta d’un intel·ligència artificial entrenada per mantenir conversacions. De forma que només cal fer-li preguntes en llenguatge natural i et proporciona les respostes. I les respostes que proporciona són encertades i completes. A més, les expressions són molt naturals i la informació prou precisa.

Fins i tot, aquesta AI té sentit del context i recorda tota la conversa mantinguda, de manera que si li fas una pregunta relacionada amb l’explicació donada, ho entendrà sense tenir que tornar a començar.

Alguns exemples de les possibilitats de ChatGPT

Servei al client automatitzat, generació d’informes, anàlisis de sentiment, gestió del coneixement, traducció automàtica, generar cançons o poemes, imitar la forma d’escriure d’una altre persona, acudits, llistes de pàgines web, trivials, crear plantilles, crear exàmens, anàlisis de productes, comparador, fórmules d’Excel, consells de salut, suggeriment de jocs, llibres, pel·licules o series, … Ara mateix i de veritat, el límit és la imaginació.

I per què tant d’enrenou amb Google?

Perquè Microsoft l’ha incorporat en el seu buscador Bing. I això posa en una disjuntiva molt complicada a Google. Si no ho incorpora en el seu buscador, pot ser que milions d’usuaris es passin a Bing (que fins ara tenia una quota ridícula) perquè prefereixin les respostes acabades de ChatGPT (per exemple, per entregar un treball a l’escola fet en uns minuts) que no buscar a Google i rebre una resposta de milions de pàgines trobades que suposa tenir que esbrinar quines són les interessants per, després, extraure la informació i resumir-la.

I si Google incorpora Bard, el seu chat de AI, també suposa un problema. Si els seus usuaris ho fan servir en comptes de fer la cerca, què passarà amb els anunciants i el SEO? Es posa en perill tota una indústria que representa una fabulosa facturació anual.

Conclusió

ChatGPT pot haver començat a cavar la tomba de Google. I, darrera de Google, hi anirem tots (no a la tomba, és clar, però venen temps interessants). Dona igual que siguis advocat, escriptor, dissenyador, professors, venedors, estudiants, cantant, compositor i una llarga llista de professions i activitats humanes que haurem de reinterpretar.

I, ara, afegiu-li el Metavers a l’equació i tindrem un panorama absolutament disruptiu amb conseqüències difícils de preveure.

Com sempre, cuideu-vos (també en el Metavers del que en parlarem un altre dia)!

A més de l’affaire Shakira-Piqué, al món passen més coses

per

Per exemple, demà celebrem el Dia Europeu de la Protecció de Dades. El 2022 ha estat de gran activitat legislativa que afectarà a les empreses en aquesta matèria ja en aquest 2023. En recordarem les principals i apuntarem alguns detalls.

En ple tsunami de la intel·ligència artificial –amb ChaptGPT com a màxim exponent– he tingut la temptació d’escriure aquest post fent servir aquesta eina que ara està de moda. No ho he fet, naturalment, per moltes raons. Digueu-n’hi  ètica, dignitat o vergonya professional. Però l’important es entendre que aquesta tecnologia, com altres, tindrà un impacte enorme en la nostra societat. I que la Protecció de Dades pren un paper molt destacat en defensa de la nostra privacitat. I, com es diu habitualment, és cosa de tots.

Podem posar alguns exemples. Microsoft treu al mercat VALL-E, una IA com ChatGPT que imita la teva veu escoltant-te tant sols durant 3 segons. Imita la veu, la cadència, fins i tot, l’ambient. I per fer-ho fàcil (i per intentar augmentar quota), Microsoft vol integrar aquestes eines en el seu cercador Bing. I, és clar, això ha posat dels nervis a Google.

Sigui com sigui, està clar que les tecnologies avancen de forma exponencial i, cada dia més, tenen un fort impacte en la nostra privacitat. Per això tots, –administracions, legisladors, operadors jurídics, empreses i, per descomptat, els usuaris– hem de fer un esforç permanent perquè aquest nivell de protecció aconseguit amb el RGPD no tan sols es mantingui, si no que vagi a més.

Avenços normatius

Aquest 2022, el legislador ens ha ajudat aprovant una sèrie de mesures, totes encaminades a aconseguir, al menys intentar-ho, anar a la par amb les tecnologies. Recordem les següents:

  • Llei Europea d’Intel·ligència Artificial (aplicable a tots els usos que afectin a ciutadans de la UE).
  • Llei de Mercats Digitals i la Llei de Serveis Digitals (la primera, per vigilar a les grans plataformes digitals (“gatekeepers”) i la segona, per crear un entorn online més segur i responsable).
  • Nou acord de protecció de dades entre Europa i EEUU (per substituir el Privacy Shield).
  • Directiva NIS 2 (mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la UE).
  • Proposta de Reglament de Ciberseguretat en productes amb elements digitals (per establir requisits de ciberseguretat en tota la UE per una amplia gama de productes de software, hardware, navegadors, sistemes operatius i una llarga llista de solucions de processament de dades en remot).

Totes les iniciatives són molt interessants i van encaminades a la protecció dels usuaris online. En propers posts entrarem en més detall en cadascuna de les normatives.

Recomanacions

Com dèiem al principi, la protecció de dades és cosa de tots. Nostra, també. Per tant, demà 28 de gener, és un bon moment per revisar totes les nostres rutines de protecció i seguretat. I, si necessitem ajuda, INCIBE.

Com sempre, cuideu-vos i cuidem les nostres dades!

Protecció de dades: hi ha que filar prim sempre!

per

En totes les àrees del dret hem de ser extremadament rigorosos com correspon però sembla que la protecció de dades sigui la solterona (o solteró) de l’ordenament jurídic. Així, és una branca del dret, en el marc de la privacitat, a la qual se’l convida amb desgana, es tolera perquè no hi ha més remei i s’obeeix cada dia més, sobretot, per les sancions.

Què ha passat aquesta vegada?

Doncs que l’Agència Espanyola de Protecció de Dades ha imposat una multa a una empresa de missatgeria per lliurar una comanda a un veí del destinatari, sense la preceptiva autorització. Tant simple com això amb un resultat dolorós.

Els fets

Des de sempre s’han lliurat paquets a domicili. L’empresa estatal de Correos, sense anar més lluny, ho ve fent des de el mateix dia que es va crear. Però, es clar, amb el començament de la pandèmia l’activitat es va disparar de maner exponencial.

Una persona compra per internet un producte a Media Markt que es lliurat per l’empresa de missatgeria UPS. El repartidor, al no trobar el destinatari en el seu domicili, decideix lliurar-lo a un veí, sense tenir autorització.

L’afectat reclama primerament a Media Markt però l’AEPD considera que és UPS el responsable de garantir les dades del client.

Què diu l’Agència?

L’Agència considera en la seva resolució que la conducta del repartidor ha vulnerat l’article 5.1.f) i l’article 32 del Reglament General de Protecció de Dades (RGPD) “al violar el principi de integritat i confidencialitat, així com no adoptar les mesures de seguretat necessàries per garantir la protecció de les dades de caràcter personal dels seus clients”.

El resultat

Doncs l’Agència ha imposat a UPS una multa de 50.000€ per la primera infracció y de 20.000€, per la segona. Es a dir, considera l’AEPD que l’empresa denunciada ha cedit les dades del reclamant a un tercer, sense el seu consentiment.

Ara ve Nadal …

Doncs sí, ara venen les festes de Nadal, període en el que el repartiment de paqueteria arriba als seus màxims de l’any. I a això cal afegir-hi les presses, les comandes d’última hora i el festival de les devolucions. I tenir en compte que, moltes vegades per bona fe o amb ganes d’ajudar, podem estar comprometent dades personals. I si el que deixen a casa del veí és un pernil, doncs encara. Però si el que deixen és l’últim model de “satisfyer” en un embolcall poc discret, potser, a més, ens enfadarem.

Com sempre, aneu en compte amb els paquets i cuideu-vos!

I ara arriba el (maleït) currículum!

per

Un cop més, una empresa, concretament un despatx d’advocats, ha estat sancionada per incomplir el RGPD en el tractament del currículum d’un candidat. El resultat? una sanció de 10.000 €. No és la primera, no serà l’última.

Ja hem parlat altres vegades del tema currículum. Tant empreses com candidats parteixen de premisses equivocades, obsoletes o directament falses. Els candidats, enviant currículums a tort i a dret, sense reparar que estan exposant les seves dades sense control; les empreses, en més casos dels desitjables, tractant els currículums sense la cura necessària per falta de coneixements, protocols i sovint, d’empatia vers el candidat.

Si hi ha un moment a la vida en què exposem nombroses dades personals, aquest és quan lliurem el currículum a una empresa amb la finalitat que ens contractin. Com  candidats hem d’exigir que les nostres dades es tractin degudament (per la qual cosa ajudaria conèixer mínimament la normativa). I com empresa, faltaria més, hem de complir escrupolosament amb el RGPD perquè és llei i perquè és el tracte correcte amb les persones.

Dues parts que haurien d’estar en equilibri. El candidat vol, òbviament, que el contractin i aconseguir un lloc de treball d’acord amb els seus mèrits i l’empresa vol contractar talent que li aporti valor.
Fem, per tant, que, independentment del resultat, l’experiència resulti satisfactòria per tothom.

Els fets

El reclamant va enviar el currículum en resposta a una oferta de treball i va ser convocada per una entrevista, sense informa-la en cap moment del nom de l’empresa ni cap dada identificativa.

Al arribar a la sala de l’entrevista, l’entrevistador va entrar amb el currículum de la candidata imprès. No se li va advertir del tractament que es pensava donar a les dades personals, ni del tractament que ja s’havia fet. No es va oferir cap tipus d’informació en compliment del RGPD.

L’única manera de saber qui la va entrevistar va ser gràcies a unes enganxines que hi havia dins l’oficina. A més, a la web corporativa tampoc consta cap informació relativa al RGPD.

Les consideracions de l’AEPD

Doncs segons l’AEPD, el despatx va obtenir dades personals dels usuaris de la pàgina web sense consentiment previ, en un formulari on introduir nom, correu i assumpte i pitjant l’opció “Enviar” per enviar-lo, sense més requisits.

Pel que fa a la Política de Privacitat, ens trobem que es proporciona una informació totalment insuficient, mancant, per exemple, la identitat i dades de contacte del responsable; les dades de contacte del delegat de protecció de dades, en el seu cas; els destinataris de les dades personals i de la informació necessària per exercir els drets que assisteixen als usuaris i com i on exercir-los.

Què hem de fer?

La llista d’incompliments del despatx dona per escriure un llibre, sense comptar que la conducta és la d’un despatx d’avocats que, per la seva naturalesa, hauria de posar-hi més cura en el tractament de les dades personals.

La nostra recomanació és que l’empresa disposi, al menys, d’un Protocol de tractament del CV (des de la publicació de l’oferta fins a la desestimació del candidat) i un conjunt de documents bàsics que permetin recollir el consentiment per el tractament i per l’entrevista de treball y circulars informatives del tractament (i del no tractament). I recordar que si la selecció es fa a través d’un portal d’ocupació o una agència de col·locació serà necessari tenir firmat el preceptiu contracte d’encarregat de tractament.

Tot això, en el benentès que l’empresa està degudament adequada a la normativa de Protecció de Dades. Si no, estarem incomplint i no servirà de res.

Com sempre, cuideu els currículums i cuideu-vos!

Ay, la (maleïda) còpia oculta!

per

Ho hem de reconèixer. A tots ens ha passat, per anar amb presses i no fixar-nos o simplement perquè en el moment suprem d’enviar el correu una distracció –truquen al mòbil o algú ens interromp – fa que enviem els correus a un conjunt de destinataris sense posar-los en còpia oculta (CCO). I un cop premuda la tecla d’Enviar, surt, inevitablement del més profund de la nostra gola, un “Ay!” que es fa sentir per tota l’estància. Però, ja és tard. Irremeiablement tard.

Doncs això és el que li va passar a una immobiliària aquí, a casa nostra. I, com no pot ser d’altre manera, amb conseqüències no desitjades (veure resolució AEPD). Per l’empresa i, el que és pitjor, per els destinataris que van veure exposades les seves dades personals. Anem a explicar-ho.

Els fets

Una empresa immobiliària remet un correu electrònic, a una pluralitat de destinataris, sense utilitzar la modalitat de còpia oculta, la qual cosa permet que tercers tinguin coneixement de la direcció de correu electrònic del reclamant. Fàcil d’entendre? Doncs sí. No es poden desvetllar dades personals, ni tant sols el correu, perquè vulnera l’article 5.1.f) del RGPD. I el 32 també, com ara veurem.

Les consideracions de l’AEPD

L’Agència considera que l’entitat reclamada, amb la seva actuació, ha cedit les dades a tercers sense causa que ho legitimi i, per tant, ha realitzat un tractament de les dades personals, la custòdia del qual té encomanada, contrari a dret. L’empresa ha violat el principi de integritat i confidencialitat (article 5.1.f) RGPD), així com no haver adoptat les mesures de seguretat necessàries per garantir la protecció de dades de caràcter personal dels seus clients (article 32 RGPD), al no fer servir la modalitat de còpia oculta del correu electrònic.

Multa per dos conceptes

La primer multa, per la infracció de l’article 5.1.f) RGPD, es quantifica (després de la graduació de la sanció) en 6.000€.
La segona, per infracció de l’article 32 RGPD, és de 3.000€.
Fan un total de 9.000€.

No està gens malament una multa de 9.000€ per una acció que es podria haver evitat només enganxant el llistat en el camp CCO del editor de correu. A més, l’empresa, de forma inusitada, no va contestar al requeriment de l’AEPD ni va presentar cap al·legació (de les comunicacions amb l’AEPD en parlarem un altre dia).

Apunts

Però més enllà del fet puntual, dolorós però assumible, està el bé jurídic que es vol protegir que no es altre que la privacitat de les dades personals. I aquí sí hem de parar atenció. Es tracta de fer un tractament escrupolós de les dades personals que ens encomanen. Aplicar els principis del RGPD com la transparència, la minimització, la integritat, la confidencialitat i la resta, i, sobretot, el de la lleialtat amb l’interessat.

Com sempre, cuideu-vos!

Google Chrome? No tan incògnit …

per

Google Chrome és, amb diferència, el cercador més utilitzat per els usuaris que naveguen per Internet. Molt per davant d’Edge, Safari i els altres. A més, el servei el proporciona una gran companyia -gran en tots els sentits- que fa que tinguem la percepció de que és un bon producte, mereixedor de tota la nostra confiança. Doncs bé, això no hauria de ser ben bé així, per la nostra seguretat i privacitat.

Chrome, com altres navegadors, disposa d’un mètode de navegació que denomina “incògnit”.  La RAE, en la segona accepció, defineix incògnit com “situació d’un personatge públic que actua com persona privada”.  Es a dir, persona que vol passar per desconeguda en el seu viatge virtual, en aquest cas, a la xarxa. I, sobretot, sentir-se segur i protegit.

Què es el mode incògnit?

En aquest mode, el navegador elimina les dades locals de la sessió de navegació a Internet. Vol dir que es bloquegen les cookies, no es registre l’historial de navegació i qualsevol altre rastrejador, arxiu temporal o barra d’eines de tercer es desactivarà. I això deixa moltes dades a les que el mode incògnit no afecta per res.

És tan “incògnit”?

Doncs no o al menys no ho és prou. Si inicies sessió en un lloc web, aquest t’identificarà i podrà seguir les teves activitats. No evitarà que els llocs que visites, el teu centre educatiu, la teva empresa o el teu proveïdor de servei de Internet puguin veure la teva activitat i ubicació. I tampoc evitarà que els llocs web que visites publiquin anuncis basats en la teva activitat durant una sessió d’incògnit.

El missatge que destapa l’assumpte

Com sempre, el diable està en els detalls. La cap de màrqueting de Goggle, Lorraine Twohill, va enviar un correu a Sundar Pichai (CEO de Google) advertint-li que els clients estaven confosos respecte el funcionament del mode incògnit i. “Fes que el mode incògnit sigui realment privat” va escriure. Twohill ho va enviar després de que varis usuaris presentessin una demanda col·lectiva multimilionària per suposa seguiment dels usuaris mentre feien servir aquest mode.

Fins i tot els empleats van avisar

La cosa ve de lluny. Ja el 2018, un empleat va compartir un informe que demostrava que els usuaris no entenen realment com funciona i no saben que no protegeix la seva privacitat com ells es penses.  Per aquest empleat, “cal deixar de anomenar-lo incògnit i de fer servir un icona amb un espia” perquè porta a equivoc sobre les seves característiques.  

Recopila les nostres dades per mostrar publicitat

Google no se’n amaga i ho explica en un enllaç però ningú ho llegeix. Us resulta familiar no llegir las informacions addicionals o el termes i condicions d’ús de les apps? Doncs això. Aquest enllaç de “Més informació” està ben visible a la pàgina inicial i explica què no fa el mode d’incògnit.

En resum

Al final, “business is business” i si fos realment d’incògnit, Google no faria negoci amb les nostres dades que ven als anunciants. Per part nostra, el podem fer servir, com diu Google, per qüestions innocents com comprar un regal per un familiar que comparteix ordinador o per si salta el banner de cookies, com fem els professionals de la privacitat. For d’això, més val que feu servir DuckDuckGo per tenir una mica més de privacitat. I queda pendent per un altre dia parlar de Tor.

Com sempre, cuideu-vos!

Vols assetjar a algú amb un perfil fals? No és bona idea. 

per

La setmana passada parlàvem de la utilització de les xarxes per cobrar un deute de forma poc ortodoxa, per dir-ho suaument. Ara volem parlar d’una pràctica més que habitual i molts més execrable com és la d’obrir perfils falsos a la xarxes socials, pàgines de contacte o simplement d’anuncis, provocant un assetjament o directament una humiliació vers un altre persona.

Veiem alguns avenços en la lluita contra la violència digital en la nova Llei.

La novetat

Aquesta conducta tindrà, a partir del proper 7 d’octubre, resposta penal. En efecte, el dia 7 entrarà en vigor la nova Llei Orgànica 10/2022, de 6 de setembre, de Garantia Integral de la Llibertat Sexual: és la coneguda popularment com “llei del només sí és sí”.

En la nova redacció s’ha modificat l’article 172 del   Codi Penal vigent per, com diu el preàmbul de la Llei,  ”donar resposta especialment a les violències sexuals comeses en l’ àmbit digital”. I explica que aquestes violències comprenen, entre d’altres, la difusió d’actes de violència sexual a través de mitjans tecnològics, la pornografia no consentida i l’extorsió sexual.

Per primera vegada, els perfils falsos en xarxes social per assetjar entren en el Codi Penal espanyol.

La conducta

Exemples d’aquesta conducta serien la creació d’un perfil fals en una web de cites (o d’escorts) amb ànim d’humiliar-la. O pujar a una xarxa social, amb un compte fake, imatges humiliants retocades amb l’ànim d’assetjar-la.

La conducta que es penalitza no es tant crear un perfil per obtenir un benefici o perjudici genèric, sinó de la creació d’un perfil fals per assetjar, fustigar o humiliar a un altre.

Les penes

La Llei considera com delicte d’assetjament la utilització sense permís de la imatge d’una altra persona per a “realitzar anuncis o obrir perfils falsos en xarxes socials, pàgines de contacte o qualsevol mitjà de difusió pública, ocasionant-li a la mateixa situació d’assetjament, fustigació o humiliació“. Aquests fets es castigaran també amb penes de presó tres mesos a un any o multes de sis a dotze mesos.

L’assetjament a l’empresa

La Llei ha modificat també altres articles d’interès que fan referència als actes hostils o humiliants que suposin greu assetjament a la víctima en l’àmbit de l’empresa, la sol·licitud de favors sexuals en l’àmbit d’una relació laboral sempre que provoquin una situació greument intimidatòria, hostil o humiliant o la difusió, revelació o cessió a tercers d’imatges o gravacions sense autorització de la víctima, el que es coneix com sexting.

 

L’assetjament no ha estat mai una bona idea, sempre ha estat un delicte i, ara, la Llei ha fet un esforç per tal de perseguir aquestes conductes detestables. I hem de ser conscients que l’assetjament, com totes les conductes delictives o simplement reprovables, és cosa de tots, no tan sols dels afectats. Tots podem ajudar en la nostra mesura. No mirar cap un altre cantó i implicar-nos ja és un pas endavant.

Com sempre, cuideu-vos!

No tot val per perseguir un morós!

per

Avui en dia és força habitual que les empreses pugin fotografies a l’Insta (com es diu ara), generalment per promocionar els seus productes i guanyar reputació. Però, de vegades, les intencions són unes altres i el resultat no pot ser més desastrós. Com diu el títol, no tot val per perseguir un morós ni per moltes altres coses a la vida.

El cas

Una dona interposa una reclamació davant l’AEPD basant-se en que la  botiga de vestits de núvia on havia comprat el seu, ha publicat a Instagram una foto en la qual figura vestida amb el seu vestit de núvia, amb l’objectiu de cobrar-lo.

Segons diu la botiga, en cap moment s’identifica els reclamants, ja que, les fotografies mostraven les figures de dues persones, home i dona, amb la cara totalment tapada amb un cercle negre que no permetia la identificació i que, per tant, no hi havia tractament de les dades personals de la parella. La firma assenyala que es va alterar deliberadament la fotografia per ocultar la identitat, per la qual cosa difícilment es podria considerar un tractament il·lícit de dades. I al·lega també que la imatge es va difondre a Instagram menys d’una hora perquè la clienta va pagar immediatament.

Per la seva banda, l’Agència entén que la manca de pagament no legitima fer servir imatges si no es compte amb el consentiment exprés de l’afectada. I que poc temps que la fotografia va estar exposada no és atenuant, abans el contrari, perquè va ser conseqüència del pagament coaccionat de la clienta. S’ha incorregut, per tant, en un tractament il·lícit de dades personals.

La sanció

L’Agència entén que la conducta suposa una infracció de l’article 6 del RGPD (licitud del tractament) ja que les dades personals van ser tractats sense comptar amb cap tipus de legitimació. D’acord amb els criteris sancionadors, s’estima adequat imposar a la botiga una sanció de 10.000€ per la infracció referida, per falta de consentiment de l’afectada.

Reflexions

Com diu el títol, tot no val. Per publicar una imatge en xarxes socials, i en qualsevol altre situació, és imprescindible comptar amb el consentiment exprés si no tenim un altre base legitimadora. En aquest cas, no es va sol·licitar el consentiment de l’afectada perquè es buscava pressionar-la perquè pagués. I ja es pot entendre que no hagués donat mai el consentiment perquè la pressionessin.

Amb caràcter general també podem dir que el nostre ordenament jurídic ens ofereix un ampli ventall de mecanismes per, com en aquest cas, recuperar un deute d’una manera endreçada. No cal acudir a dreceres ens que portin a una sanció (o conseqüències pitjors).

Com sempre, cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web