Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Tens dret a l’oblit!

01/07/2022 per Ricard Castellet

El Tribunal Constitucional reconeix el dret d’un comerciant que va demanar eliminar dades desqualificatòries. I ho ha fet declarant inconstitucionals les sentències que van anul·lar la decisió de l’Agència Espanyola de Protecció de Dades (AEPD) d’atendre la petició.

Però bé, comencem per el principi. Què és el dret a l’oblit?

De forma resumida, podem dir que és el dret a sol·licitar, sota determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada pel teu nom.

Aquest dret, d’origen jurisprudencial, es troba recollit en el RGPD i en la LOPDGDD i no s’ha de confondre amb el Dret de Supressió (veurem les diferències més endavant).

L’assumpte ve de lluny, només cal recordar aquí la coneguda com “Sentència Google Spain”, pionera en la matèria.

Repassem els principals trets d’aquest dret.

Característiques

El Dret a l’oblit es pot exercir davant dels buscadors i dels editors de les pàgines web perquè són responsables del tractament de dades personals. Preval sobre l’interès econòmic del buscador i del interès públic per garantir el dret a la privacitat. El dret apareix quan el nom d’una persona està enllaçat a publicacions que contenen informació personal. No hi ha termini per exercir-lo, sempre que hi hagin raons legítimes per fer-ho.

Requisits per exercir-lo

La norma enumera diferents supòsits que avalen l’exercici quan, per exemple, els resultats obtinguts després d’una cerca realitzada a partir del nom de la persona, els enllaços publicats amb informació de la persona fossin inadequats, inexactes, no pertinents, no actualitzats o excessius o haguessin esdevingut com a tals pel transcurs del temps.

També es podrà sol·licitar si s’evidenciés la prevalença dels drets de l’afectat sobre el manteniment dels enllaços per el servei de cerca a Internet.

El dret subsistirà encara que sigui lícita la conservació de la informació publicada en el lloc web i no es procedís al seu esborrat previ o simultani.

És important destacar que l’exercici del dret no impedirà l’accés a la informació publicada en el lloc web si s’hi accedeix fent servir altres criteris diferents al nom de qui exerceix el dret.

Limitacions

El Ple del TC ha precisat els límits del dret a l’oblit, entre els quals ha destacat el factor de la importància pública de la notícia i el de la seva antiguitat; així com la responsabilitat de les entitats que operen motors de recerca d’ Internet de respectar el dret a la supressió d’ aquests enllaços quan infringeixin la normativa de la Unió Europea i espanyola en la matèria.

Apuntar, per part nostra, altres límits que recull el RGPD com són la llibertat d’expressió i informació, el compliment d’un obligació legal, per raons d’interès públic en l’àmbit de la salut pública, quan hi hagin finalitats d’arxiu d’interès públic, investigació científica o històrica i per la defensa de reclamacions.

Procediment per l’exercici del dret a l’oblit

La normativa estableix que per exercir el dret de supressió (i, per tant, el dret a l’oblit) es imprescindible que l’afectat es dirigeixi personalment a l’entitat que tracta les seves dades (buscador o web).

Si l’entitat no respon a la petició realitzada o la resposta rebuda no es considera adequada, l’afectat pot interposar una reclamació davant l’AEPD que determinarà si l’estima o no. La decisió de l’Agència és recurrible davant els Tribunals.

Diferències entre el dret a l’oblit i el dret de supressió

Tot i que sovint es confonen el Dret a l’Oblit i el Dret de Supressió, no són exactament el mateix. Podem veure el dret a l’oblit com la manifestació del dret de supressió aplicat als buscadors d’Internet. Fa referència a la possibilitar de impedir la difusió de informació personal a través de Internet quan la seva publicació bo compleix els requisits d’adequació i pertinença previstos en la normativa..

El primer, citat en el RGPD, està desenvolupat en l’article 93 LOPDGDD pel que fa a les cerques a Internet i en l’article 94 de la mateixa Llei pel que fa als serveis de xarxes socials i similars.

El Dret de Supressió es recull el RGPD, en l’article 17 que confereix a l’interessat el dret a obtenir, sense dilació indeguda, del responsable del tractament la supressió de les dades personals que li concerneixin, el qual estarà obligat a suprimir les dades personals quan concorri alguna de les circumstàncies que es detallen.

Resumint

El Dret a l’oblit és l’aplicació del Dret de supressió en l’entorn dels buscadors de Internet. Recentment, el Tribunal Constitucional ha dictat una sentència que referma aquest dret a Internet.

El Dret a l’oblit permet a l’afectat demanar, en certes condicions, que els enllaços a les seves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el seu nom.

El Dret el pot exercir el propi afectat davant dels responsables dels buscadors o, si no obté resposta adequada, davant l’AEPD.

A Tecnolawyer, com consultora especialista en Dret Digital i Protecció de Dades, podem determinar la informació personal vostra que circula per Internet i exercir en el vostre nom el dret a l’oblit. De forma segura i confidencial. Podeu fer-nos una consulta aquí.

Com sempre, cuideu-vos, també a Internet!

Post relacionat: Google no oblida. L’AEPD tampoc …

Coses que no pots fer quan vols contractar persones

17/06/2022 per Ricard Castellet

Ja hem parlat altres vegades del que es pot fer i com, i del que no es pot fer quan vols contractar a una persona per l’empresa. Hi ha unes regles del joc que, quan no es segueixen, donen pas a conseqüències no desitjades, com és el cas que avui ens ocupa.

Podem resumir l’assumpte explicant que una advocada va optar a una vacant en una empresa a través d’un portal d’ocupació. Poc després la candidata va esbrinar que l’empresa havia fet indagacions sobre ella consultant sense autorització un fitxer de morosos i va presentar una reclamació davant l’Agència Espanyola de Protecció de Dades (AEPD) que ha procedit a sancionar a l’empresa.

Segons el procediment sancionador de l’Agència, l’empresa Alquiler Seguro, SA oferia, a través de InfoJobs una plaça d’advocada. La reclamant es va inscriure en la esmentada oferta. I l’empresa, abans de trucar-la, va fer prèviament una consulta a Asnef (Associació Nacional d’Establiments Financers de Crèdit) per conèixer la seva situació. Al no figurar en el registre, a continuació la van trucar.

Setmanes més tard, arrel d’unes gestions que l’advocada va fer amb Asnef, li van remetre un històric de consultes en la que, per sorpresa de la reclamant, apareixia la consulta de Alquier Seguro SA. Considera l’advocada que estem davant d’un accés al fitxer per una finalitat diferent de la prevista. L’empresa ho ha fet en el marc d’un procés de selecció de personal i no per valorar la seva solvència de cara a una futura relació comercial.

L’AEPD imputa a la part reclamada la comissió d’una infracció per vulneració de l’Article 6.1 del RGPD, per falta de legitimació en el tractament ja que, al seu entendre l’actuació de l’empresa no s’ajusta a cap dels supòsits que preveu la norma. L’empresa, per la seva part, va al·legar, entre altres, que aquesta situació podia haver-se donat per un error humà perquè a l’hora d’introduir el DNI de la candidata a “Asnef empresas” o va fer a “Servicio Bureau Crédito”.

Finalment, l’Agència imposa una sanció de 70.000€ que, amb el reconeixement de la responsabilitat manifestat en termini i la reducció per pagament voluntari de la sanció, queda en 42.000€. No és un import petit. Aprofitem per recordar que el reconeixement de la responsabilitat que dona peu a la reducció, fa que a efectes pràctics acabi amb la via contenciosa de reclamació.

En resum, l’empresa va fer un tractament de dades no legitimat perquè no comptava amb el consentiment (o un altre base legitimadora) per fer-ho. I això, segons la LOPDGDD, és una infracció molt greu. La contractació de persones a les empreses tenen que seguir, com amb tot, unes regles de joc. En el post citat al començament se’n recullen les principals.

Com sempre, cuideu-vos!

17.200 milions de registres perduts entre 2004 i 2021

10/06/2022 per Ricard Castellet

Així és recull en un recent article de Visual Capitalist titulat “Visualizing The 50 Biggest Data Breaches From 2004–2021”. La veritat és que la dada objectivament resulta impressionant. És clar que si la posem en el context del total de dades que es gestionen en el món, probablement es podrà relativitzar. En qualsevol cas, el titular és prou cridaner per fer algunes reflexions al voltant de la privacitat i el seu corol·lari, la ciberseguretat.

Què és una bretxa de seguretat?

Comencem per el principi. Una bretxa de seguretat és un incident per el qual informació sensible o confidencial es copiada, transmesa o robada per un entitat no autoritzada. Això pot ocórrer com a resultat de atacs de malware, frau en pagaments, filtracions internes o divulgació no intencionada.

Entenent els fonaments de les Bretxes de Seguretat

La bretxa de seguretat consisteix en tot acte d’intromissió, il·lícit o no autoritzat que:

Pot ocasionar la destrucció, pèrdua o alteració accidental de les dades personals.
Pot permetre la comunicació, revelació o accés no autoritzats a fitxers o tractaments de dades personals.

Mesures de seguretat

El RGPD exigeix als responsables de tractament de dades que apliquin les mesures jurídiques, tècniques i organitzatives necessàries per garantir la seguretat de les mateixes.

Però la seguretat ha d’ampliar-se més enllà de la protecció de dades i ha d’envoltar tots els actius de l’empresa, començant per els actius intangibles que són molts i molt valuosos: plans de màrqueting, patents, relacions amb clients, proveïdors, partners i institucions, dades (per exemple, llistes de clients potencials), desenvolupament de software, marques i un llarg etcètera. Aquest patrimoni es pot protegir ampliant les mesures de seguretat que apliquem a les dades.

Privacitat, ciberseguretat i el factor humà.

La ciberseguretat és un mitjà per protegir a les organitzacions i a les persones. Les mesures són, com dèiem, jurídiques, organitzatives i tècniques. I el factor clau és, com sempre, l’humà. Perquè està a la seva mà implementar les mesures i, alhora, és l’actiu final a protegir. Les mesures de ciberseguretat són del tot imprescindibles però, de la mateixa manera, les persones hem de de ser conscients de la necessitat de protegir-nos davant de pràctiques com l’enginyeria social, el phishing, l’explotació de les xarxes socials i tantes altres pràctiques que només busquen fer-se amb les nostres dades per obtenir un benefici il·licit. Segons el 2022 Data Breach Investigations Report de Verizon, en el 82% de les bretxes va estar implicat el factor humà, inclosos atacs socials, errors i mal ús.

Mesures tècniques bàsiques

Ús de contrasenyes segures i doble factor d’autenticació
Còpies de seguretat
Sistemes actualitzats
Exposició de serveis a Internet
Xifrat de dispositius

¿Què hem de fer si patim una bretxa de seguretat a ? Protocol AEPD

Partint del supòsit que la nostra empresa està adequada al RGPD, l’article 33 ens imposa l’obligació de notificar l’incident a l’autoritat de control quan sigui probable que aquest constitueixi un risc per els drets i llibertats de les persones, en un termini inferior a les 72h. des de que en tinguem constància.

L’AEPD té publicada una Guia per la notificació de bretxes de dades personals.

Vigilem les nostres dades i, com sempre, cuideu-vos!

Si no pagues els serveis amb diners, ho fas amb les teves dades!

30/05/202227/05/2022 per Ricard Castellet

Això no és nou. Des de fa temps sabem que tot allò que ens donen “gratuïtament” ho estem pagant amb les nostres dades personals. Ens baixem una app per fer, posem per cas, de brúixola i ens demanen consentiment per accedir a les nostres dades, als contactes, a la nostre ubicació, a les fotografies i els vídeos i a un llarg etc. de dades.

Tenint en compte que en el nostre telèfon tenim de mitja unes dos-centes aplicacions instal·lades, ja ens podem anar fent una idea de l’escampada de dades que hi ha.

Però tampoc cal que sigui una app, ni tan sols que la transacció es faci a Internet. Les targetes de pagament com VISA o les de fidelització de qualsevol comerç, acumulen al llarg del temps una gran quantitat de dades que permeten fer perfils molts acurats dels individus.

Què mengem, quants som a casa, de quines edats, estatus econòmic, dificultats per arribar a final de mes, quines són les nostres preferències en alimentació, viatges, música i tantes altres coses. I tot a canvi de miserables punts o algun descompte de tant en tant.

Fins aquí tot el que sabíem però ara, CaixaBank, ens ha obert encara més els ulls. I de manera francament desagradable, per dir-ho suaument. Perquè l’Agència Espanyola de Protecció de Dades l’ha sancionat amb 2.100.000€ per condicionar la prestació del consentiment als seus clients. Una multa de 2.000.000€ per condicionar l’obtenció del consentiment a l’exempció de comissions bancàries. I, una segona, perquè en el formulari de consentiment les caselles estaven premarcades. Pràctica molt habitual (també passa amb les cookies) que, en aquest cas, ha estat sancionada amb 100.000€.

Sí, heu llegit bé. Segons l’AEPD, el banc condicionava l’exempció de comissions a l’atorgament del consentiment per part del client per rebre comunicacions comercials i per cedir les seves dades a les entitats del Grup Bankia. El Reglament Europeu, diu clarament que “el consentiment quedarà invalidat per qualsevol influencia o pressió inadequada exercida sobre l’interessat que impedeixi que aquest exerceixi la seva lliure voluntat”. L’Agència valora com agreujant el gran número de clients, prop d’un milió, que havien prestat el consentiment per rebre publicitat i cedir les dades a Bankia.

La segona multa es deu q la inobservança del requisit d’obtenir el consentiment d’una manera lliure, específica, informada i inequívoca, incomplint el RGPD per quant “el silenci, les caselles premarcades o la inacció no han de constituir consentiment”. Aquesta invalidesa comporta una falta de legitimació que infringeix l’article 6.1 RGPD.

Aquestes notícies creen neguit en la societat, més si venen d’una institució que molts considerem senyera. D’una empresa de referència com aquesta i per la naturalesa del seu negoci, s’espera que, a més complir la normativa vigent, apliquin els més alts estàndards ètics en el tracte als seus clients. La sanció econòmica no tindrà més transcendència però la reputació del Banc se’n veurà afectada.

Com diu el xef José Andrés, “lo important és que ens cuidem els uns als altres”. Podem començar perquè les empreses ens cuidin. I, no descuidem, vigilar nosaltres mateixos!

Google no oblida. L’AEPD tampoc …

20/05/2022 per Ricard Castellet

L’Agència Espanyola de Protecció de Dades (AEPD) l’acaba de sancionar a Google amb una multa rècord de 10 milions d’euros per cometre dos infraccions molt greus: una, per cedir dades a tercers i l’altre per obstaculitzar amb un formulari confús que la tecnològica posava a disposició dels usuaris, precisament, per exercir el dret a l’oblit.

Dos infraccions molt greus contra la normativa de protecció de dades que suposen una multa rècord de 10 milions d’euros per cedir dades a tercers sense legitimació per fer-ho i obstaculitzar el dret de supressió dels ciutadans, vulnerant els articles 6 y 17 del Reglament General de Protecció de Dades (RGPD).

Pel que fa a la primera, la cessió inconsentida de dades, l’Agència ha constatat que Google envia al Projecte Lumen informació de sol·licituds que li fan els usuaris, incloent-hi la identificació, adreça de correu electrònic, motius al·legats i la URL reclamada. La finalitat del projecte és la recollida i posada a disposició de sol·licituds de retirada de contingut en una base de dades accessible al públic, el que, en la pràctica, suposa frustrar la finalitat del dret de supressió.

Recordem que el dret a l’oblit permet sol·licitar, en determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el teu nom. L’exercici d’aquest dret no elimina el contingut en sí però, al no estar disponible en els motors de recerca dels indexadors (Google, Bing, Yahoo, etc.), ho fa més difícil.

Lumen Database disposa d’un cercador de reclamacions que s’allotgen a la seva base de dades que es pot consultar per diversos paràmetres (paraules clau, remitents, temes, …)

De manera que, si pots trobar-ho a la base de dades de Lumen ja no existeix el dret a l’oblit.

Pel que fa a la segona, l’exercici del dret mitjançant el formulari que ofereix Google, l’AEPD ha entès que és complex, confon a l’usuari i feia molt difícil que es pogués exercir el dret a l’oblit correctament. El sistema conduïa a l’interessat a través de diverses pàgines per complimentar la sol·licitud, sense mencionar la normativa de protecció de dades de referència, obligant-lo a marcar opcions que se li oferien sense explicacions.

Com resultat d’aquest procediment, queda a criteri de Google la decisió de quan s’aplica i quan no el RGPD, de forma que “acceptar el dret de supressió de dades personals queda condicionat per el sistema d’eliminació de continguts per part de l’entitat responsable”.

Segons Google, ja han començat a “reavaluar i redissenyar les pràctiques d’intercanvi de dades amb Lumen a la llum de les consideracions de l’AEPD”. De les consideracions i, apuntem, de la sanció.

Siguem curosos amb la nostra informació perquè quan aquesta es publica a Internet ja no queda a les nostres mans. Com sempre, cuideu-vos!

‘Fake news’ i empresa, què hem de saber?

01/07/202222/04/2022 per Ricard Castellet

Temps enrere vam parlar de les deepfakes i ara volem fer una ullada a com les ‘fake news’ poden afectar a les empreses.

Estem, i cada dia més, entrant de ple en l’era de la infoxicació (overload Information). Aquest neologisme fa referència al concepte de sobrecàrrega informativa que té lloc quan la quantitat o la intensitat d’informació excedeixen la capacitat limitada de processament de l’ individu, la qual cosa pot provocar efectes disfuncionals. El terme el devem a Alfons Cornella, fundador del Institut Next.

Mitjans competint per l’audiència i per omplir parrilles i milions d’usuaris que, de cop i volta, ens hem tornat periodistes, comentaristes, influencers i no sé quantes coses més. I, com és natural, les xarxes socials han elevat la infoxicació a l’enèsima potència.

Afegim-li els esdeveniments extraordinaris que d’ençà a uns anys estem vivint: pandèmia, naturalesa desfermada, guerra, crisis climàtica i un llarg reguitzell que afegeix pressió a la caldera informativa.

Tos aquest cúmul de circumstàncies fa que cada cop siguem menys curosos amb la verificació de la informació que rebem, no tenim temps, ni ganes, de contrastar-la ni molt menys de refutar-la. I ja tenim un excel·lent caldo de cultiu per les fake news.

Però tot això, que en l’esfera privada pot tenir conseqüències que van des de lleus (s’anuncia de forma falsament intencionada que un jugador fitxarà per un altre equip la propera temporada) a molt greus (com pot ser l’assetjament sexual), en el cas de les empreses els efectes poden ser devastadors si no es prenen mesures.

En efecte, a l’empresa hi ha dos vessants, com a mínim, que s’han de cobrir. D’una banda, la difusió per part de la nostra empresa de informacions falses: alertar d’una suposada escassetat d’un producte per fer-ne pujar el preu, difondre notícies negatives sense fonament sobre un competidor o fer publicitat denigratòria. En aquests casos podríem estar infringint una sèrie de normatives que van des de la Llei General de comunicació audiovisual (art.61) a la Llei de Competència deslleial (art 27.3), entre altres.

I, a contrari sensu, la nostre empresa en pot ser l’afectada. Sigui per alguna noticia falsa de les esmentades, que totes tindran recorregut en els tribunals amb les conegudes dificultats probatòries, o, i això és més subtil, que una informació no contrastada ens porti a prendre una decisió desencertada amb el conseqüent perjudici econòmic o, pitjor, reputacional.

En aquest punt, cal fer unes recomanacions per intentar minimitzar els possibles perills. Partir del convenciment que no tot el que es publica, amb independència del mitjà, es fiable i aplicar grans dosis d’escepticisme i sentit comú acostuma a ser un bon començament. Recórrer a la font original (i sospitar si no es cita), buscar la informació en altres fonts, distingir entre informació i opinió i no creure per defecte aquella informació que s’adapta al nostre biaix poden ser bones guies per no caure en el parany.

Des de notícies falses per intentar manipular eleccions fins a notícies alarmants a propòsit del COVID estem sotmesos a una pluja de informacions que necessàriament hem de contrastar si volem evitar situacions adverses, tant en el pla personal com en el professional.

Potser ens convindria un ‘detox‘ informatiu. Mentrestant i com sempre, cuideu-vos!

UE – EEUU, llum al final del túnel?

01/04/202201/04/2022 per Ricard Castellet

Pocs dies enrere, va saltar la noticia que la UE i els EEUU havien arribat a un acord per transferir, entre els dos espais, dades personals, garantint-ne la privacitat. La transferència de dades estava suspesa des del passat 2020, quan el Tribunal de Justícia de la Unió Europea (TJUE) va anul·lar l’acord anomenat “Privacy Shield” al considerar que els EEUU no oferien suficients garanties per la privacitat dels ciutadans europeus.

Aquest anunci del President Biden s’ha de prendre, com sempre, amb molta cautela, per varies raons. Primer, perquè per el que sembla, estem davant d’una declaració d’intencions. Segon, perquè, de ser així, hi ha molta feina per endavant i no és una qüestió que es resoldrà en unes setmanes. I, tercer, perquè, o molt ens equivoquem però costa creure que Max Schrems (l’activista que va impulsar les demandes que van donar origen a l’anul·lació) es conformi sense presentar batalla.

Ja n’hem parlat de la qüestió en diverses ocasions (1,2,3,4) però fem un resum de com hem arribat fins aquí.

Tot i que el RGPD preveu altres mecanismes per blindar la privacitat de les dades en les transferències internacionals (per exemple, les SCC –Standard Contractual Clauses– o les BCR –Binding Corporate Rules) és evident que un acord marc d’adhesió per part de les empreses americanes com el Privacy Shield facilitava molt les coses, a tots dos costats de l’Atlàntic. Les empreses americanes només tenien que adherir-se amb un auto-certificat a els principis establerts per el Departament de Comerç dels EEUU. I les empreses, a més de complir amb les seves obligacions, només tenien que assegurar-se que l’empresa que tractava les dades estava en la llista. Aquest plantejament va saltar per els aires el juliol del 2020 amb l’esmentada sentencia.

I que suposa que l’Escut de Privacitat no estigui en vigor? Doncs que anem cap a dos anys d’incompliment continuat. Google, Facebook, Mailchimp i totes les empreses americanes que donen servei a empreses europees estan en fals. I les empreses europees estan, directament, incomplint perquè transfereixen dades sense garanties. De vegades de forma molt grollera com pot ser el cas de Mailchimp i d’altres, de forma més subtil com pot ser fent servir Google Analytics.

I que diu el comunicat que pretén resoldre la situació?

Doncs literalment diu que “Avui hem aconseguit un acord sense precedents sobre la protecció de la privadesa de les dades i la seguretat dels nostres ciutadans”. L’acord “permetrà el flux de dades entre la UE i els EUA de forma predictible, fiable, equilibrant la seguretat, els drets a la privadesa i la protecció de dades”, va assegurar Von der Leyen. I, segons Biden, que es reprengui el flux de dades tindrà un impacte positiu estimat en uns 6.500 milions d’euros.

Interessos econòmics versus privacitat. I, està clar, al final hem d’aconseguir el millor d’ambdós aspectes: permetre el la transferència de dades sense perjudicar a les empreses i la seva economia però mantenint la privacitat que emana del RGPD. Per aquesta és la garantia de la prosperitat per les economies occidentals.

Com sempre, vigileu les vostres dades i cuideu-vos!

Del intèrfon al Whatsapp?

04/03/2022 per Ricard Castellet

Dic lo del intèrfon perquè encara no el sabem fer anar correctament i ara cada dia hem d’aprendre coses noves. Doncs bé, avui toca repassar el Whastapp, que tots fem servir, perquè hi ha aspectes dels quals potser no en som conscients i ens poden ocasionar problemes. Hi ha conductes, fins i tot, que es poden tipificar com a delicte i tenir conseqüències penals.

Més enllà de qüestions bàsiques com la de demanar el consentiment per afegir a alguna persona a un xat grupal (exemple clàssic són el grup de pares de la classe o el grup de viatge, en el marc de la normativa de protecció de dades) o la difusió d’imatges íntimes, amb o sense consentiment (que vulnera l’article 197.7 del nostre Codi Penal) i ha altres conductes més desconegudes que també poden comportar conseqüències.

Parlem, per exemple, de pràctiques molt habituals com és el compartir fotografies i reenviar captures de pantalla amb converses alienes, i arxius, mitjançant Whatsapp. Són infraccions, sinó delicte, quan es fa sense el consentiment dels afectats i són especialment greus quan les dades es difonen de manera oberta i a un gran nombre de destinataris. Sense oblidar la protecció dels menors i les persones vulnerables.

En aquests supòsits podríem estar lesionant el dret a la intimitat o al honor de les persones implicades. També pot ser delicte difondre àudios, vídeos o simplement imatges d’un tercer sense consentiment. En el casos més greus es pot incorre en un delicte de descobriment i revelació de secrets.

Un altre conducta a la que em vull referir és a l’espionatge del mòbil d’una altre persona. Accedir al contingut d’un mòbil aliè i fer-se amb la informació que conté –fotos, vídeos, converses, etc. és delicte si no estàs autoritzat per el propietari del dispositiu. Si a més es reenvia la informació a altres persones també es comet una il·legalitat, fins i tot la cometen els qui la difonen encara que no hagin participat en la seva obtenció. Recordem alguns exemple, de vegades molt tristos, com el de la treballadora d’Iveco o el d’Amanda Todd.

Respecta a l’espionatge, val a dir que el Codi Penal castiga fins i tot la mera adquisició de programes o contrasenyes destinats a facilitar l’accés al dispositiu d’una altre persona. Però si, a més, s’instal·len i es descobreix la intimitat del propietari, estaríem davant d’un delicte de descobriment i revelació de secrets recollit en el citat article 197 del Codi Penal que preveu penes de presó d’un a quatre anys i multa de dotze a 24 mesos. No és cap broma.

Ens deixem en el tinter molts altres conductes habituals que tenen caràcter d’il·lícites com poden ser les amenaces, les injuries, les calumnies, el grooming (entabanar menors perquè facilitin material sexual explícit) , el stalking (assetjament) i altres.

La tecnologia posa en les nostres mans mitjans que fins fa poc eren ciència ficció. Hem d’aprendre a fer-los servir i, sobretot, formar als menors perquè, des de la inconsciència pròpia de l’edat, hi ha conductes que, més enllà del seu retret penal, poden tenir greus conseqüències per les persones afectades. Com sempre, sentit comú i prudència.

Apreneu, també, com funciona l’intèrfon que va sent hora. Cuideu-vos!

Quan la realitat supera a la ficció, un cop més

17/02/2022 per Ricard Castellet

La RAE recull en el seu diccionari, sota la primer accepció de realitat, la “existència real i efectiva d’alguna cosa”. I, en la segona, “veritat, el que passa veritablement”. I per realitat virtual, la “representació d’escenes o imatges d’objectes produïda per un sistema informàtic, que fa la sensació de la seva existència real”.

Ve això a tomb de algunes notícies aparegudes als mitjans en els últims dies referides als “deepfakes”. El terme es va popularitzar l’any passat arrel de l’aparició a la xarxa social TikTok del compte “deeptomcruise” que en qüestió de minuts es tornar viral amb milions de seguidors.

En el compte es poden veure imatges del famós actor fent trucs de màgia, tocant la guitarra, promocionant productes de neteja industrial i altre activitats, totes elles amb el denominador comú de ser falses o, com es diu ara, “fakes. Això amb un realisme inquietant per les possibilitats, tant bones com dolentes, que se’ns poden ocórrer.

Tant és així que provoquen l’efecte que es denomina “uncanny valley”. Una hipòtesi que afirma que quan les rèpliques antropomòrfiques se apropen en excés a l’aparença i comportament d’un ser humà real, causen una resposta de rebuig entre els observadors humans. Val la pena visualitzar alguns vídeos per fer-nos una idea fins on pot arribar aquesta tecnologia que no ha fet més que començar.

De fet, segons Scientific American, “els humans troben les cares generades per IA més fiables que les reals”. La veritat és que les imatges generades per ordinador amb Intel·ligència Artificial són pràcticament indistingibles de les cares humanes.

I aquesta tecnologia planteja moltes qüestions a les que se’ls haurà de donar resposta. Perquè això va més enllà del Photoshop o dels extraordinaris efectes especials als que Hollywood ens ha acostumat en els darrers anys. Ara qualsevol pot, de forma molt fàcil i econòmica (a Internet hi ha molts programes per fer-ho), substituir una cara en un vídeo o en una foto i que resulti imperceptible al espectador.

Tecnologia que permet des de fer una broma o divertir-se posant la pròpia cara a un personatge de ficció en el cine (podem ser Rick o Ilsa a Casablanca, per exemple) fins a fer campanyes de desinformació (polítiques o d’una altre mena), creació d’escenes porno falses per fer xantatge o qualsevol altre actuació orientada al frau, a l’abús o qualsevol iniciativa orientada a extorquir a un altre.

Naturalment, com amb qualsevol nova tecnologia, ja han sortit al mercat eines per ajudar a identificar els “deepfakes” i ha començat la guerra entre dos tecnologies oposades. I també, com era previsible, ja surten veus que proposen prohibir la tecnologia per els perills que pot comportar. Prohibició que, òbviament, tindrà poc recorregut. Crec més possible la instal·lació en el dispositiu d’un programari tipus antivirus que detecti els deepfakes, de manera que no siguem presa dels delinqüents.

I això, a ben segur, no ha fet més que començar.

Com sempre, cuideu-vos!

Què en saps de Google Analytics?

04/02/2022 per Ricard Castellet

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren transferits al Estats Units sense suficient garanties de protecció. El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!