Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

DNI vs RGPD: La prima línia entre identificació legal i vulneració de dades

per

El Document Nacional d’Identitat (DNI) no està classificat com a dada de categoria especial sota el RGPD (no inclou informació sobre salut, origen ètnic o orientació sexual). No obstant això, el seu tractament genera un debat legal i pràctic pel seu potencial per identificar inequívocament una persona i el seu ús massiu en processos empresarials. D’ altra banda, les estafes, les suplantacions d’ identitat i els perjudicis econòmics derivats de les dues situacions anteriors estan a l’ ordre del dia, per la qual cosa realment es tracta d’ una dada d’ un risc i rellevància vital.

L‘Agència Espanyola de Protecció de Dades (AEPD) s’ha pronunciat al respecte i indica que el DNI conté dades especialment sensibles i susceptibles d’un mal ús, sobretot amb la seva recopilació o emmagatzematge indegut, atès que un tercer que tingui accés a aquests pot suplantar la identitat del titular del DNI amb total facilitat i perpetrar conductes que suposin un alt risc per a la privacitat,  l’ honor i el patrimoni del suplantat.

Així ho ha reflectit en sancionar amb 100.000€ una companyia per sol·licitar una fotocòpia del DNI per correu electrònic per acreditar la identitat d’una persona sense informar adequadament sobre el tractament de les seves dades (article 13. RGPD) i sense complir amb les mesures de seguretat adequades.

En aquest cas, l’AEPD qüestiona l’enviament del DNI per correu electrònic, ja que no ho considera una via segura per a la transmissió d’unes dades tan sensibles com les que figuren en el DNI.

Per la seva banda, la reclamada no va presentar l’anàlisi de riscos ni tenia implementades mesures de seguretat adequades per garantir que l’enviament d’aquesta informació fos segur, per la qual cosa l’AEPD ha decidit sancionar-la amb 50.000€ per l’absència de mesures de seguretat i altres 50.000€ per no facilitar informació sobre el tractament.

Conclusió

L’AEPD ha enviat un missatge contundent: gestionar el DNI amb negligència no només vulnera la privacitat, sinó que obre la porta a conseqüències legals i econòmiques. La pròxima vegada que sol·licites una còpia del DNI, recorda: identificar no és sinònim d’exposar.

Per llegir la resolució, feu clic aquí.

Com sempre, cuida les dades i ¡cuideu-vos!

Treballes o et vigilen? La CNIL multa amb 40.000€ una empresa per controlar fins al segon d’inactivitat dels seus empleats

per

El 19 de desembre de 2024, l’autoritat de protecció de dades francesa (CNIL) va imposar una sanció de 40.000€ a una empresa del sector immobiliari per controlar els seus empleats sense informar, sense adoptar mesures de seguretat adequades i sense haver realitzat una EIPD.

Fets

Arran de diverses denúncies, la CNIL va realitzar una inspecció en la qual va observar que l’empresa filmava constantment els seus empleats i captava la imatge i el so, a més de mesurar el seu temps de treball i avaluar el seu rendiment de forma molt precisa gràcies al programa informàtic instal·lat als seus ordinadors.

El sistema de videovigilància captava constantment imatges i sons dels empleats del local, tant en els seus llocs de treball com en els espais de descans. A més, aquestes imatges podien ser visualitzades pels supervisors mitjançant una aplicació mòbil. Aquesta mesura no va ser justificada de cap manera, la qual cosa suposa una clara vulneració excessiva dels drets dels treballadors, així com del principi de minimització de dades (art. 5.1.c) RGPD).

D’altra banda, pel que fa al programari instal·lat als ordinadors dels empleats per monitorar la seva activitat, la CNIL va considerar que aquesta mesura era totalment desproporcionada i una vigilància especialment intrusiva. Aquest programari permetia, a més de comptar les hores de treball, saber si l’empleat no escrivia al teclat ni movia el ratolí en un període d’entre 3 i 15 minuts, en el qual també podien prendre’s captures de pantalla periòdiques. En cas de detectar aquests períodes d’ inactivitat, si no es justificaven o compensaven, s’ aplicava una deducció de salari.

La CNIL va indicar que aquest programa no era fiable, atès que els períodes d’aparent inactivitat podien correspondre a temps de treball efectiu en el marc de les seves funcions (com reunions o trucades telefòniques), per la qual cosa no hi havia una garantia que el programari complís amb la seva finalitat de forma correcta.

A més, el sistema, en permetre la captura de dades potencialment privades (com correus electrònics personals, converses de missatgeria instantània o contrasenyes confidencials), constituïa una vulneració desproporcionada de la privacitat, interessos i drets fonamentals dels treballadors, i el tractament de les dades mancava de fonamentació legal (art. 6 RGPD).

Així mateix, l’ empresa tampoc va proporcionar informació escrita suficient sobre el tractament que realitzava el programari de monitoratge, ni en documents d’ informació interns de l’ empresa ni en els contractes de treball i d’ estudi dels empleats, la qual cosa constitueix una infracció de l’ article 13 del RGPD.

En últim lloc, l’empresa tampoc va realitzar una avaluació d’impacte sobre la protecció de dades (EIPD) per al tractament que va realitzar en implementar el programa de monitoratge, la qual era necessària en haver-hi un alt risc per als drets i llibertats dels empleats.

Conclusió

El monitoratge excessiu i el control laboral sense prendre les mesures tècniques i organitzatives necessàries transgredeixen els drets dels empleats a nivells excessius. Cal recordar que sempre que es realitza un tractament de dades que afecta drets sensibles, s’ ha de realitzar amb cautela i actuant en el marc de la normativa de protecció de dades.

Com sempre, cuideu les dades i ¡cuideu-vos!

Per llegir la resolució, faci clic aquí.

Dia de la Protecció de Dades 2025: Protegint La nostra Privacitat a l’Era Digital

per

El 26 d’abril de 2006, el Consell d’Europa va decidir fixar el 28 de gener com el Dia de la Protecció de Dades, atès que va ser el 28 de gener de 1981 quan es va signar el Conveni per a la protecció de les persones pel que fa al tractament automatitzat de dades de caràcter personal (Conveni 108),  primer instrument jurídic internacional vinculant per protegir la privacitat en l’era digital.

Aquesta data ens hauria de recordar la importància de salvaguardar la nostra informació personal en un món cada vegada més connectat. Enguany, la commemoració adquireix especial rellevància davant els desafiaments i avenços en matèria de privacitat digital, en especial, en àrees com la Intel·ligència Artificial i neurociència.

Desafiaments que afrontar el 2025

El 2024 ha estat un any definitivament ple de decisions regulatòries i judicials que han transformat l’àmbit de la privacitat de les dades. Hem vist sancions a Meta, LinkedIn, Uniqlo, OpenAI, Netflix i altres empreses conegudes que mostren les conseqüències de la falta d’alineació amb el RGPD.

Així mateix, també hem viscut l’entrada en vigor del Reglament d’Intel·ligència Artificial, la qual és la primera llei a introduir certes directrius en relació amb l’ús d’aquestes tecnologies avançades.

Aquests successos evidencien la transformació digital que estem vivint i la necessitat d’imposar la privacitat de les nostres dades com una prioritat legal.

Aquest nou any planteja nous reptes per a les empreses, les quals s’han d’ajustar a normatives més estrictes en aquesta matèria, així com establir mesures de seguretat per protegir-se de les amenaces cibernètiques.

  • Reglament de Cibersolidaritat: aprovat el 19 de desembre de 2024 i amb efectes el febrer de 2025, preveu els mecanismes que ha de disposar la UE per augmentar la seva resiliència i la seva capacitat de reacció en cas de rebre ciberamenaces.
    Els seus objectius se centren en: donar suport a la detecció i la consciència d’amenaces i incidents de ciberseguretat significatius; reforçar la solidaritat a escala de la UE, gestionar de forma concertada les crisis i la capacitat de resposta a tots els Estats membres; i contribuir a garantir un entorn digital segur i protegit per als ciutadans i les empreses.
  • Llei de Resiliència Cibernètica (CRA, per les seves sigles en anglès): aprovada el 12 de març de 2024 i aplicable per complet a partir de l’11 de desembre de 2027, és la primera legislació que estableix requisits de ciberseguretat als productes digitals al llarg del seu cicle de vida. Les empreses s’ han de preparar ja per complir amb els nous requisits. Entre les seves especificacions, es troben: requisits de ciberseguretat obligatoris, actualitzacions contínues per corregir les vulnerabilitats, notificació obligatòria de vulnerabilitats, supervisió de mercat i transparència per als consumidors.

Aquesta normativa (que complementa la NIS-2) s’aplica a tots els fabricants de productes digitals, independentment de si tenen base a la UE o fora d’ella, sempre que ofereixin productes al mercat europeu; afecta fabricants de maquinari, desenvolupadors de programari, distribuïdors i importadors.

  • Directiva NIS-2: Va entrar en vigor el 16 de gener de 2023 i aplicable des de finals de 2024, s’espera establir la llista d’entitats essencials i importants com a màxim fins al 17 d’abril de 2025. Aquesta norma revisa i amplia la Directiva NIS-1 de 2016, atès que aquesta ha quedat obsoleta en el context actual en què els incidents de ciberseguretat han anat in crescendo.
    Estableix obligacions en matèria de ciberseguretat per impulsar un nivell de ciberseguretat adequat i comú i busca protegir la infraestructura digital als Estats membres i harmonitzar els requisits de ciberseguretat a nivell europeu. Els seus àmbits d’intervenció són els següents: exigència d ‘alts nivells de seguretat als Estats membres, creació d’un Grup de Cooperació entre Estats membres, obligacions de ciberseguretat a empreses públiques i privades en sectors «essencials» i «importants».
    A Espanya, s’ha aprovat recentment l ‘Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, la qual transposa a l’ordenament jurídic espanyol la Directiva NIS-2. Aquest avantprojecte dissenya l ‘Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, que s’encarregarà de la gestió de les crisis de ciberseguretat.
  • Reglament DORA (Digital Operational Resilience Act): va entrar en vigor el 16 de gener de 2023 però es va establir un període de dos anys per desplegar els seus efectes per complet. S’ aplica a totes les entitats financeres de la UE i busca crear un marc jurídic comú per a la gestió dels riscos digitals en el sector financer.
    A causa de l’augment global d’atacs cibernètics, es vol aconseguir la ciberresiliència en les entitats financeres per garantir l’estabilitat financera al continent, per la qual cosa els seus objectius se centren en: gestió de riscos en els sistemes, classificació i notificació d’incidents en ciberseguretat, proves de resiliència operativa digital, normativa per a l’intercanvi d’informació segura,  entre d’ altres. 
  • Reglament de Dades de la UE: va entrar en vigor l’11 de gener de 2024 però serà aplicable a partir del 12 de setembre de 2025. Deriva de la necessitat que desperta l’auge de l’Internet de les Coses (IoT) i complementa el Reglament de Governança de Dades. Amb aquesta llei, els preus dels serveis postvenda i la reparació dels dispositius intel·ligents seran més baixos; hi haurà noves oportunitats per utilitzar serveis basats en l’accés a les dades; i s’establirà un millor accés a les dades recollides o produïdes per un dispositiu.

  • Reglament d’Intel·ligència Artificial: va entrar en vigor l’1 d’agost de 2024 i és la primera norma del món que regula la Intel·ligència Artificial. Desplega efectes per complet el 2 d’agost de 2026; no obstant això, algunes disposicions seran aplicables a partir del 2025. Per això, les empreses s’ han de preparar per ajustar-se a la normativa com més aviat millor.
    Aquesta norma prohibeix certes aplicacions d’IA que afecten els drets fonamentals com els sistemes de categorització biomètrica, reconeixement facial, d’ emocions
    A més, estableix obligacions per promoure l ‘ alfabetització en IA, requisits de gestió de riscos i transparència i estructures de governança.

Com protegir les teves dades

En honor al dia d’avui, et recomanem el següent per poder protegir les teves dades:

  • Utilitza contrasenyes robustes i autenticació de dos factors.
  • Manté els teus dispositius i programari actualitzats.
  • Evita compartir informació sensible en xarxes públiques.
  • Sé cautelós amb els permisos que atorgues a les aplicacions.
  • Realitza còpies de seguretat de forma regular.

Per a les empreses

Les organitzacions han de:

  • Implementar polítiques de protecció de dades sòlides.
  • Formar els seus empleats en matèria de privacitat i seguretat. Invertir en formació en aquest àmbit pot prevenir de bretxes de seguretat o errors humans.
  • Designar un Delegat de Protecció de Dades quan sigui necessari.
  • Realitzar auditories periòdiques de compliment.

Recordem que la protecció de dades no és només una obligació legal, sinó una responsabilitat compartida que ens beneficia a tots.
Aquest Dia de la Protecció de Dades prenguem consciència i actuem per salvaguardar la nostra privacitat en el món digital.

Com sempre, cuideu les dades i cuideu-vos!

E-mails en periode de baixa: ¿intrusió digital o comunicació innòcua?

per

Què és el dret a la desconnexió digital?

Aquest dret està reconegut en l’article 88 de la nostra Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garanties dels Drets Digitals (LOPDGDD) i es disposa com un requisit indispensable en una relació laboral per respectar el temps de descans, permisos i vacances, així com de la intimitat personal i familiar dels empleats.

Amb la incorporació del teletreball i les noves tecnologies, que no són més que eines que faciliten la comunicació a distància, els límits de la comunicació en l’àmbit laboral es tornen més difusos. Tanmateix, és important respectar l’ horari laboral dels empleats i vetllar pel dret a la desconnexió digital.

Comentari de la STSJ de Madrid 534/2024, del 26 de juny de 2024

El passat 26 de juny, el Tribunal Superior de Justícia de Madrid va dictaminar que l’enviament de correus electrònics corporatius a una persona en situació d’incapacitat temporal no vulnera el dret a la desconnexió digital.

En aquest supòsit, el centre educatiu en el qual l’ empleada estava de baixa li va enviar correus electrònics durant el seu període d’ incapacitat temporal. Aquest fet planteja qüestions sobre el dret a la desconnexió digital dels treballadors, especialment durant períodes de baixa mèdica.

Cal destacar que la demandant va comunicar en reiterades ocasions que no contactessin amb ella i que, arran d’aquest fet, es van deixar d’enviar comunicacions. Per tant, el centre educatiu va respectar la sol·licitud de la treballadora de no ser contactada, en alineació amb el dret a la desconnexió digital.

En el seu recurs, la demandant va al·legar la vulneració de diversos articles relacionats amb la protecció de dades i el dret al descans, incloent-hi l’article 88 de la LOPDGDD i l ‘article 18 de la Constitució Espanyola. Va argumentar que l’enviament d’emails durant la seva incapacitat temporal entorpia la seva recuperació i constituïa una intromissió en els seus drets.

La part demandada va al·legar que els correus electrònics van ser enviats  al compte corporatiu de la demandant com a membre de l’equip docent i que, a més, van ser enviats de manera automàtica en formar part del llistat de treballadors del centre, per la qual cosa la treballadora no tenia obligació d’obrir o llegir aquests correus durant el seu període d’incapacitat temporal.

A més, s’esmenta que, després de la sol·licitud de la demandant al juny de 2023, el seu compte va ser retirat dels grups de treball. Això indica una resposta positiva a la petició de desconnexió per part del centre educatiu.

Conclusió

La sentència distingeix entre els correus enviats des del compte del centre i els enviats per un individu des del seu compte personal. Això planteja qüestions sobre la responsabilitat institucional davant les accions individuals en matèria de desconnexió digital.

Aquest cas il·lustra la complexitat d’equilibrar la comunicació laboral amb el dret al descans i la desconnexió, especialment durant períodes d’incapacitat temporal. La sentència suggereix que, si bé inicialment hi va haver comunicacions no desitjades, el centre educatiu finalment va respectar la sol·licitud de desconnexió de la treballadora, per la qual cosa no hi va haver cap vulneració.

Podeu llegir la sentència aquí

Com sempre, cuideu les dades i cuideu-vos!

Netflix: privadesa primer, si us plau!

per

Com deia Tim Cook, CEO d’Apple, en una declaració de 2018, La nostra informació personal, des del quotidià fins al més íntim, s’ha convertit en una arma que s’utilitza contra nosaltres mateixos amb precisió militar. (…) Cada dia, es mouen milers de milions de dòlars i es prenen innombrables decisions sobre la base dels nostres gustos, amics i familiars, relacions i converses, desitjos i pors, esperances i somnis (…) Aquestes dades, inofensives per separat, són acuradament combinades, sintetitzades, analitzades, comercialitzades i venuts. Portat a l’extrem, aquest procés crea un perfil digital permanent de cadascun de nosaltres i permet a les empreses conèixer-nos millor de el que ens coneixem a nosaltres mateixos.” (1)

Ja fa anys que es parla de l’economia de dades i dels nous models de negoci denominats “privacy-first“, es a dir, aquells que avantposen la privacitat i que no requereixen de l’extracció de dades, ja que no monetitzen les dades personals. Ja sabem que no és fàcil per moltes empreses però no tenir molt present la privacitat té consequències.

La DDPA (Dutch Data Protection Authority), Agència neerlandesa de Protecció de Dades, ha proposat una sanció de 4’75M€ a Netflix a causa de la vulneració de certs principis del RGPD.

Arran d’una investigació iniciada el 2019 pel Centre Europeu per a Drets Digitals (NOYB, per les seves sigles en anglès de None Of Your Business), la DDPA ha conclòs que Netflix no oferia als clients informació suficient sobre el tractament de les seves dades personals entre el 2018 i el 2020 i la informació oferta no era transparent.

El Centre Europeu per a Drets Digitals, que és una organització sense ànim de lucre fundada a Viena el 2017, va ser el que va identificar les vulneracions del RGPD de Netflix—en especial, l’article 15—i va advertir l’Autoritat de Protecció de Dades austríaca, la qual va traslladar l’expedient a la neerlandesa, atès que Netflix té la seva seu europea a Països Baixos.

Segons l’Agència neerlandesa, la companyia de streaming no era prou clara en els següents punts:

  1. Base de legitimació per recollir i tractar les dades personals ( 6 RGPD).
  2. Comunicació de dades a tercers.
  3. Període de conservació de dades.
  4. Mesures de seguretat en transferències internacionals de dades.

D’altra banda, quan els usuaris es posaven en contacte amb Netflix per exercir els seus drets en l’àmbit de la protecció de dades, la companyia no oferia respostes clares al respecte.

Si bé la decisió de la DDPA ha estat celebrada per NOYB, Stefano Rosetti, advocat del Centre ha criticat el llarg període de temps—cinc anys—que ha transcorregut per adoptar una postura tenint en compte que «era un cas molt clar».

Netflix va actualitzar la seva política de privacitat el 2020 i ha ampliat la informació oferta als usuaris, però, s’ha oposat a la multa.

NOYB ha iniciat reclamacions similars contra Amazon, Apple Music, Spotify i Youtube. En el cas de Spotify, la IMY (Autoritat de Protecció de Dades sueca) va imposar una multa de 5M€ per vulnerar l’article 15 RGPD.

Per llegir la Resolució, feu clic aquí.

Recordeu, cuideu les dades i cuideu-vos!

(1)  Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.

Límits del control empresarial: Quan registrar un despatx es converteix en delicte

per

El Tribunal Superior de Justícia de Madrid declara que el registre del despatx d’ un treballador acomiadat, sense la seva presència ni la de representants legals ni notari, constitueix una vulneració dels drets fonamentals a la intimitat i a la dignitat.

En la STSJM 383/2024, el Tribunal considera que l’empresa va realitzar un registre del despatx de la treballadora sense les degudes garanties, començant pel fet que es va dur a terme el 22 de desembre de 2022, mateix dia del seu acomiadament.

Si bé l’ empresa va oferir a la treballadora la devolució dels seus objectes personals, el mateix dia va procedir al registre del seu despatx, sense esperar-se a la seva resposta i sense cerciorar-se que la treballadora hagués rebut la carta d’ acomiadament. A més, a banda de realitzar-se sense la presència de la treballadora ni de cap membre del comitè d’empresa ni d’un altre empleat que pogués actuar com a testimoni, es va forçar un armari tancat amb clau i es va accedir a la calaixera de la taula de l’escriptori, en la qual hi havia estris personals i material de treball.

La part demandada al·lega que «l’accés al despatx de la demandant va ser idoni, necessari i proporcionat, per recuperar la documentació confidencial que la treballadora hi deia guardava». El Tribunal, però, indica que «aquesta afirmació no es correspon amb les afirmacions declarades provades, com afirmar que la demandada guardava documentació confidencial i jurídica de la seva propietat al despatx de la treballadora».

El Tribunal recorda que, si bé en l’ art. 20.3 ET s’ atribueix a l’ empresari la facultat d’ adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana, cal tenir en compte que,  en aplicació d’aquesta necessària adaptabilitat dels drets del treballador als raonables requeriments de l’organització productiva en què s’integra, s’ha afirmat que manifestacions de l’exercici d’aquells que en un altre context serien legítimes, no ho són quan el seu exercici es valora en el marc de la relació laboral

En conseqüència, el Tribunal Superior donarà suport a la valoració de la jutjadora d’ Instància i dictamina que aquestes accions no superen el test de proporcionalitat ni idoneïtat exigit per la doctrina del Tribunal Constitucional.

Conclusió

El Tribunal Superior de Justícia de Madrid confirma la sentència d’instància que va declarar la vulneració del dret a la intimitat personal de la treballadora i manté la indemnització de 8.000€ que l’empresa li ha d’abonar per aquesta vulneració. Aquesta decisió subratlla la importància de respectar els procediments adequats i les garanties legals en realitzar registres en els espais de treball dels empleats, especialment en situacions sensibles com un acomiadament.

Pot llegir la sentència aquí.

Com sempre, cuideu les dades i cuideu-vos!

Geolocalització i Privacitat en Màrqueting Mòbil

per

La geolocalització en el màrqueting mòbil ha revolucionat la forma en què les marques interactuen amb els consumidors, oferint experiències personalitzades basades en la ubicació. No obstant això, aquest avenç tecnològic planteja importants desafiaments quant a la privacitat i la protecció de dades dels usuaris. L ‘ equilibri entre la personalització i la protecció de dades en estratègies basades en ubicació és un tema destacat en el màrqueting digital actual.

Beneficis de la geolocalització en màrqueting mòbil

La geolocalització permet a les marques oferir contingut i ofertes altament rellevants basades en la ubicació de l’ usuari. Això pot millorar significativament l’ experiència del client i augmentar l’ efectivitat de les campanyes de màrqueting. Alguns avantatges inclouen:

  1. Ofertes personalitzades en temps real.
  2. Millora de l’ experiència del client en botigues físiques.
  3. Optimització de campanyes publicitàries locals.
  4. Anàlisi de patrons de moviment per millorar estratègies de negoci.
Desafiaments de privacitat

Malgrat els seus beneficis, l’ús de dades de geolocalització planteja serioses preocupacions sobre la privacitat. Els usuaris poden sentir-se incòmodes amb la idea que les empreses coneguin la seva ubicació exacta en tot moment. A més, la recopilació i emmagatzematge d’aquestes dades sensibles augmenta el risc de violacions de seguretat.

Regulacions i compliment normatiu

Per abordar aquestes preocupacions, normatives com el RGPD exigeixen que les empreses obtinguin el consentiment explícit dels usuaris abans de recopilar i utilitzar les seves dades d’ubicació. A més, han de proporcionar informació clara sobre com s’ utilitzaran aquestes dades i permetre als usuaris exercir els seus drets sobre ells.

Estratègies per equilibrar personalització i privacitat
  1. Transparència i control de l’ usuari:
    • Ser completament transparent sobre quines dades es recopilen i com s’utilitzen.
    • Oferir als usuaris control granular sobre les seves preferències de privacitat.
  2. Minimització de dades:
    • Recopilar només les dades estrictament necessàries per proporcionar el servei.
    • Utilitzar tècniques d’ anonimització i agregació de dades quan sigui possible.
  3. Consentiment explícit i revocable:
    • Obtenir el consentiment clar i específic dels usuaris abans d’ utilitzar les seves dades d’ ubicació.
    • Permetre als usuaris revocar fàcilment el seu consentiment en qualsevol moment.
  4. Seguretat robusta:
    • Implementar mesures de seguretat avançades per protegir les dades de geolocalització.
    • Realitzar auditories regulars de seguretat i privacitat.
  5. Personalització contextual:
    • Utilitzar la geolocalització de manera contextual, oferint valor real a l’ usuari en moments rellevants.
    • Evitar l’ ús excessiu o intrusiu de les dades d’ ubicació.
  6. Educació de l’ usuari:
    • Informar els usuaris sobre els beneficis de compartir la seva ubicació i com es protegeixen les seves dades.
    • Proporcionar recursos educatius sobre privacitat i seguretat.
Implementació ètica d’ estratègies basades en ubicació
  1. Per implementar estratègies de màrqueting basades en geolocalització de manera ètica, les empreses han de:
  2. Desenvolupar polítiques de privacitat clares i accessibles.
  3. Realitzar avaluacions d’ impacte en la privacitat abans de llançar noves iniciatives.
  4. Formar el personal en pràctiques de privacitat i protecció de dades.
  5. Col·laborar amb experts en privacitat i ètica per garantir el compliment normatiu.
Tendències futures

El futur del màrqueting basat en geolocalització se centrarà en:

  1. Tecnologies de privacitat millorada, com l ‘Edge Computing i la privacitat diferencial.
  2. Més integració de la intel·ligència artificial per oferir experiències personalitzades més precises i menys intrusives.
  3. Evolució de les regulacions de privacitat per abordar els desafiaments emergents en tecnologia de localització.
Conclusió

L’ equilibri entre la personalització i la protecció de dades en estratègies de màrqueting basades en geolocalització és un desafiament continu però molt important.

 Les empreses que aconsegueixin aquest equilibri i ofereixin experiències personalitzades mentre respectin i protegeixin la privacitat dels usuaris estaran més ben posicionades per guanyar la confiança dels consumidors i destacar en un mercat cada vegada més competitiu i regulat.

La clau està en adoptar un enfocament centrat en l’usuari, en el qual la transparència, el control i l’ètica siguin els pilars fonamentals de qualsevol estratègia de màrqueting basada en ubicació.

Com sempre, cuideu les dades i cuideu-vos!

L’AEPD frena a SEAT: Lliçons d’una política de cookies defectuosa

per

L’AEPD ha proposat una sanció de 20.000€ a SEAT, S.A. per incompliments relacionats amb la protecció de dades personals, concretament, en la gestió inadequada de les cookies.

En una inspecció d’ofici duta a terme per l’Agència, sense mediar reclamació prèvia, es va observar que la pàgina web de SEAT utilitzava cookies la naturalesa de les quals no era tècnica i sense consentiment de l’usuari. La pàgina web activava cookies de funcionalitat i segmentació (com cookies de YouTube per a seguiment de preferències de vídeo i publicitat) sense que l’usuari hagués donat el seu consentiment explícit, la qual cosa incompleix l’exigència de recaptar el consentiment de l’usuari abans d’instal·lar qualsevol cookie no tècnica.

D’altra banda, tot i que les cookies sí que es podien gestionar des de l’accés a la política de cookies instal·lada al web de SEAT, no podien eliminar-se, si es desitjava, un cop acceptades.

«No és possible modificar el consentiment prestat a la utilització de cookies de naturalesa no tècniques o necessàries. Doncs, encara que s’opti per rebutjar ara totes les cookies, es comprova que les cookies instal·lades quan es va prestar el consentiment segueixen presents al navegador», indica l’AEPD.

Com que la revocació del consentiment no era efectiva, ja que les cookies no tècniques romanien actives i seguien enviant informació després que l’usuari intentava desactivar-les, l’AEPD va determinar una sanció de 20.000€, que va quedar reduïda a 12.000€ per reconeixement de la infracció i pagament voluntari.

Quines mesures hem de tenir implementades a la nostra pàgina web per assegurar-nos que no ens passa el mateix?

Mesures a implementar

  1. Obtenció del consentiment previ
  2. Mecanisme efectiu de retirada del consentiment
  3. Revisió de la classificació de cookies
  4. Millora del panell de control de cookies
  5. Actualització de la política de cookies

Implementació tècnica

  • Bloqueig de cookies no essencials
  • Sistema de gestió de consentiment
  • Eliminació efectiva de cookies

Consideracions addicionals

  • Realitzar auditories periòdiques per assegurar el compliment continu de la normativa.
  • Formar el personal tècnic i legal sobre els requisits de la LSSI en matèria de cookies.
  • Considerar la implementació d’una solució de Consent Management Platform (CMP) que compleixi amb els estàndards actuals de privacitat.

En implementar aquestes mesures, complirem amb l’ article 22.2 de a LSSI-CE i evitarem possibles sancions.

 Per llegir la Resolució, feu clic aquí.

Com sempre, cuideu les dades i ¡cuideu-vos!

Drets digitals dels menors i màrqueting responsable

per

En un món cada vegada més digitalitzat, el màrqueting dirigit a menors ha cobrat una rellevància significativa, ja que la tecnologia està a l’abast de les persones cada vegada a una edat més primerenca. Per això, s’ ha manifestat la necessitat d’ implementar regulacions estrictes i estratègies responsables per protegir aquest grup vulnerable. Les noves normatives i pràctiques busquen equilibrar la influència del màrqueting digital mentre s’assegura el benestar i la seguretat dels menors.

Regulacions recents en màrqueting dirigit a menors

La Unió Europea ha estat pionera a establir regulacions que protegeixen els menors en l’entorn digital. La Llei de Serveis Digitals (DSA, per les seves sigles en anglès) és un exemple clau, ja que prohibeix la publicitat basada en perfils per a menors i obliga les plataformes en línia a avaluar els riscos sistèmics que puguin afectar els drets i el benestar mental dels infants.

D’altra banda, a Espanya, s’ha aprovat justament aquest any el Reial Decret d’«Usuaris d’Especial Rellevància», que obliga els influencers a etiquetar contingut per edats i prohibeix la promoció de productes com tabac o alcohol, assegurant que no es causi dany psicològic o físic als menors.

Estratègies de màrqueting responsable

1. Transparència i veracitat

L’ètica en la publicitat exigeix que les marques siguin transparents i veraços en les seves comunicacions. Això implica presentar informació precisa sobre productes i serveis, evitant afirmacions enganyoses que puguin erosionar la confiança del consumidor. Les campanyes han de ser clares sobre la seva naturalesa publicitària, especialment quan s’ adrecin a menors.

2. Inclusió i diversitat

Les estratègies de màrqueting responsable també promouen la inclusió i diversitat. Per això, és fonamental que les campanyes reflecteixin una varietat de cultures i contextos perquè tots els infants se sentin representats. Això no només millora la percepció de marca, sinó que també fomenta un entorn més inclusiu.

3. Ús ètic dels influencers

L’ ús d‘ influencers infantils requereix un enfocament ètic. Les marques s’ han d’ assegurar que aquests influencers promoguin productes adequats per a la seva audiència i compleixin amb les regulacions pertinents. A més, han d’ evitar qualsevol contingut que pugui explotar la inexperiència o credulitat dels menors.

4. Contingut educatiu i entretingut

El contingut adreçat a menors ha de ser tant educatiu com entretingut. Les campanyes efectives utilitzen elements lúdics per captar l’atenció mentre transmeten missatges positius o educatius. Això no només ajuda a mantenir l’interès de l’infant, sinó que també contribueix al desenvolupament cognitiu.

Reptes actuals

Malgrat les regulacions i estratègies responsables, hi ha desafiaments significatius:

  1. Adaptació tecnològica: La ràpida evolució tecnològica requereix una constant actualització de les normatives per abordar noves formes de publicitat digital.
  2. Compliment global: Les diferències entre les legislacions nacionals i internacionals compliquen el compliment uniforme per part de les empreses globals.
  3. Equilibri entre creativitat i regulació: Les marques han de trobar un equilibri entre ser creatives i innovadores en les seves campanyes mentre compleixen amb les regulacions estrictes.

Conclusió

El màrqueting dirigit a menors és un camp delicat que requereix una atenció meticulosa tant des del punt de vista legal com ètic. Les recents regulacions busquen protegir els menors mentre permeten que les marques continuïn interactuant amb aquest públic de manera responsable. A mesura que avança la tecnologia, serà crucial que les empreses continuïn adaptant-se per garantir pràctiques publicitàries segures i efectives. En fer-ho, no només compliran amb les normatives vigents, sinó que també contribuiran al desenvolupament positiu de l’ entorn digital per a les generacions futures.

Com sempre, cuideu les dades i cuideu-vos!

Revisió Texts legals web