Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

E-mails en periode de baixa: ¿intrusió digital o comunicació innòcua?

per

Què és el dret a la desconnexió digital?

Aquest dret està reconegut en l'article 88 de la nostra Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades i Garanties dels Drets Digitals (LOPDGDD) i es disposa com un requisit indispensable en una relació laboral per respectar el temps de descans, permisos i vacances, així com de la intimitat personal i familiar dels empleats.

Amb la incorporació del teletreball i les noves tecnologies, que no són més que eines que faciliten la comunicació a distància, els límits de la comunicació en l'àmbit laboral es tornen més difusos. Tanmateix, és important respectar l' horari laboral dels empleats i vetllar pel dret a la desconnexió digital.

Comentari de la STSJ de Madrid 534/2024, del 26 de juny de 2024

El passat 26 de juny, el Tribunal Superior de Justícia de Madrid va dictaminar que l'enviament de correus electrònics corporatius a una persona en situació d'incapacitat temporal no vulnera el dret a la desconnexió digital.

En aquest supòsit, el centre educatiu en el qual l' empleada estava de baixa li va enviar correus electrònics durant el seu període d' incapacitat temporal. Aquest fet planteja qüestions sobre el dret a la desconnexió digital dels treballadors, especialment durant períodes de baixa mèdica.

Cal destacar que la demandant va comunicar en reiterades ocasions que no contactessin amb ella i que, arran d'aquest fet, es van deixar d'enviar comunicacions. Per tant, el centre educatiu va respectar la sol·licitud de la treballadora de no ser contactada, en alineació amb el dret a la desconnexió digital.

En el seu recurs, la demandant va al·legar la vulneració de diversos articles relacionats amb la protecció de dades i el dret al descans, incloent-hi l'article 88 de la LOPDGDD i l 'article 18 de la Constitució Espanyola. Va argumentar que l'enviament d'emails durant la seva incapacitat temporal entorpia la seva recuperació i constituïa una intromissió en els seus drets.

La part demandada va al·legar que els correus electrònics van ser enviats  al compte corporatiu de la demandant com a membre de l'equip docent i que, a més, van ser enviats de manera automàtica en formar part del llistat de treballadors del centre, per la qual cosa la treballadora no tenia obligació d'obrir o llegir aquests correus durant el seu període d'incapacitat temporal.

A més, s'esmenta que, després de la sol·licitud de la demandant al juny de 2023, el seu compte va ser retirat dels grups de treball. Això indica una resposta positiva a la petició de desconnexió per part del centre educatiu.

Conclusió

La sentència distingeix entre els correus enviats des del compte del centre i els enviats per un individu des del seu compte personal. Això planteja qüestions sobre la responsabilitat institucional davant les accions individuals en matèria de desconnexió digital.

Aquest cas il·lustra la complexitat d'equilibrar la comunicació laboral amb el dret al descans i la desconnexió, especialment durant períodes d'incapacitat temporal. La sentència suggereix que, si bé inicialment hi va haver comunicacions no desitjades, el centre educatiu finalment va respectar la sol·licitud de desconnexió de la treballadora, per la qual cosa no hi va haver cap vulneració.

Podeu llegir la sentència aquí

Com sempre, cuideu les dades i cuideu-vos!

Netflix: privadesa primer, si us plau!

per

Com deia Tim Cook, CEO d'Apple, en una declaració de 2018, "La nostra informació personal, des del quotidià fins al més íntim, s'ha convertit en una arma que s'utilitza contra nosaltres mateixos amb precisió militar. (...) Cada dia, es mouen milers de milions de dòlars i es prenen innombrables decisions sobre la base dels nostres gustos, amics i familiars, relacions i converses, desitjos i pors, esperances i somnis (...) Aquestes dades, inofensives per separat, són acuradament combinades, sintetitzades, analitzades, comercialitzades i venuts. Portat a l'extrem, aquest procés crea un perfil digital permanent de cadascun de nosaltres i permet a les empreses conèixer-nos millor de el que ens coneixem a nosaltres mateixos." (1)

Ja fa anys que es parla de l'economia de dades i dels nous models de negoci denominats "privacy-first", es a dir, aquells que avantposen la privacitat i que no requereixen de l'extracció de dades, ja que no monetitzen les dades personals. Ja sabem que no és fàcil per moltes empreses però no tenir molt present la privacitat té consequències.

La DDPA (Dutch Data Protection Authority), Agència neerlandesa de Protecció de Dades, ha proposat una sanció de 4'75M€ a Netflix a causa de la vulneració de certs principis del RGPD.

Arran d'una investigació iniciada el 2019 pel Centre Europeu per a Drets Digitals (NOYB, per les seves sigles en anglès de None Of Your Business), la DDPA ha conclòs que Netflix no oferia als clients informació suficient sobre el tractament de les seves dades personals entre el 2018 i el 2020 i la informació oferta no era transparent.

El Centre Europeu per a Drets Digitals, que és una organització sense ànim de lucre fundada a Viena el 2017, va ser el que va identificar les vulneracions del RGPD de Netflix—en especial, l'article 15—i va advertir l'Autoritat de Protecció de Dades austríaca, la qual va traslladar l'expedient a la neerlandesa, atès que Netflix té la seva seu europea a Països Baixos.

Segons l'Agència neerlandesa, la companyia de streaming no era prou clara en els següents punts:

  1. Base de legitimació per recollir i tractar les dades personals ( 6 RGPD).
  2. Comunicació de dades a tercers.
  3. Període de conservació de dades.
  4. Mesures de seguretat en transferències internacionals de dades.

D'altra banda, quan els usuaris es posaven en contacte amb Netflix per exercir els seus drets en l'àmbit de la protecció de dades, la companyia no oferia respostes clares al respecte.

Si bé la decisió de la DDPA ha estat celebrada per NOYB, Stefano Rosetti, advocat del Centre ha criticat el llarg període de temps—cinc anys—que ha transcorregut per adoptar una postura tenint en compte que «era un cas molt clar».

Netflix va actualitzar la seva política de privacitat el 2020 i ha ampliat la informació oferta als usuaris, però, s'ha oposat a la multa.

NOYB ha iniciat reclamacions similars contra Amazon, Apple Music, Spotify i Youtube. En el cas de Spotify, la IMY (Autoritat de Protecció de Dades sueca) va imposar una multa de 5M€ per vulnerar l'article 15 RGPD.

Per llegir la Resolució, feu clic aquí.

Recordeu, cuideu les dades i cuideu-vos!

(1)  Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.

Límits del control empresarial: Quan registrar un despatx es converteix en delicte

per

El Tribunal Superior de Justícia de Madrid declara que el registre del despatx d' un treballador acomiadat, sense la seva presència ni la de representants legals ni notari, constitueix una vulneració dels drets fonamentals a la intimitat i a la dignitat.

En la STSJM 383/2024, el Tribunal considera que l'empresa va realitzar un registre del despatx de la treballadora sense les degudes garanties, començant pel fet que es va dur a terme el 22 de desembre de 2022, mateix dia del seu acomiadament.

Si bé l' empresa va oferir a la treballadora la devolució dels seus objectes personals, el mateix dia va procedir al registre del seu despatx, sense esperar-se a la seva resposta i sense cerciorar-se que la treballadora hagués rebut la carta d' acomiadament. A més, a banda de realitzar-se sense la presència de la treballadora ni de cap membre del comitè d'empresa ni d'un altre empleat que pogués actuar com a testimoni, es va forçar un armari tancat amb clau i es va accedir a la calaixera de la taula de l'escriptori, en la qual hi havia estris personals i material de treball.

La part demandada al·lega que «l'accés al despatx de la demandant va ser idoni, necessari i proporcionat, per recuperar la documentació confidencial que la treballadora hi deia guardava». El Tribunal, però, indica que «aquesta afirmació no es correspon amb les afirmacions declarades provades, com afirmar que la demandada guardava documentació confidencial i jurídica de la seva propietat al despatx de la treballadora».

El Tribunal recorda que, si bé en l' art. 20.3 ET s' atribueix a l' empresari la facultat d' adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana, cal tenir en compte que,  en aplicació d'aquesta necessària adaptabilitat dels drets del treballador als raonables requeriments de l'organització productiva en què s'integra, s'ha afirmat que manifestacions de l'exercici d'aquells que en un altre context serien legítimes, no ho són quan el seu exercici es valora en el marc de la relació laboral

En conseqüència, el Tribunal Superior donarà suport a la valoració de la jutjadora d' Instància i dictamina que aquestes accions no superen el test de proporcionalitat ni idoneïtat exigit per la doctrina del Tribunal Constitucional.

Conclusió

El Tribunal Superior de Justícia de Madrid confirma la sentència d'instància que va declarar la vulneració del dret a la intimitat personal de la treballadora i manté la indemnització de 8.000€ que l'empresa li ha d'abonar per aquesta vulneració. Aquesta decisió subratlla la importància de respectar els procediments adequats i les garanties legals en realitzar registres en els espais de treball dels empleats, especialment en situacions sensibles com un acomiadament.

Pot llegir la sentència aquí.

Com sempre, cuideu les dades i cuideu-vos!

Geolocalització i Privacitat en Màrqueting Mòbil

per

La geolocalització en el màrqueting mòbil ha revolucionat la forma en què les marques interactuen amb els consumidors, oferint experiències personalitzades basades en la ubicació. No obstant això, aquest avenç tecnològic planteja importants desafiaments quant a la privacitat i la protecció de dades dels usuaris. L ' equilibri entre la personalització i la protecció de dades en estratègies basades en ubicació és un tema destacat en el màrqueting digital actual.

Beneficis de la geolocalització en màrqueting mòbil

La geolocalització permet a les marques oferir contingut i ofertes altament rellevants basades en la ubicació de l' usuari. Això pot millorar significativament l' experiència del client i augmentar l' efectivitat de les campanyes de màrqueting. Alguns avantatges inclouen:

  1. Ofertes personalitzades en temps real.
  2. Millora de l' experiència del client en botigues físiques.
  3. Optimització de campanyes publicitàries locals.
  4. Anàlisi de patrons de moviment per millorar estratègies de negoci.
Desafiaments de privacitat

Malgrat els seus beneficis, l'ús de dades de geolocalització planteja serioses preocupacions sobre la privacitat. Els usuaris poden sentir-se incòmodes amb la idea que les empreses coneguin la seva ubicació exacta en tot moment. A més, la recopilació i emmagatzematge d'aquestes dades sensibles augmenta el risc de violacions de seguretat.

Regulacions i compliment normatiu

Per abordar aquestes preocupacions, normatives com el RGPD exigeixen que les empreses obtinguin el consentiment explícit dels usuaris abans de recopilar i utilitzar les seves dades d'ubicació. A més, han de proporcionar informació clara sobre com s' utilitzaran aquestes dades i permetre als usuaris exercir els seus drets sobre ells.

Estratègies per equilibrar personalització i privacitat
  1. Transparència i control de l' usuari:
    • Ser completament transparent sobre quines dades es recopilen i com s'utilitzen.
    • Oferir als usuaris control granular sobre les seves preferències de privacitat.
  2. Minimització de dades:
    • Recopilar només les dades estrictament necessàries per proporcionar el servei.
    • Utilitzar tècniques d' anonimització i agregació de dades quan sigui possible.
  3. Consentiment explícit i revocable:
    • Obtenir el consentiment clar i específic dels usuaris abans d' utilitzar les seves dades d' ubicació.
    • Permetre als usuaris revocar fàcilment el seu consentiment en qualsevol moment.
  4. Seguretat robusta:
    • Implementar mesures de seguretat avançades per protegir les dades de geolocalització.
    • Realitzar auditories regulars de seguretat i privacitat.
  5. Personalització contextual:
    • Utilitzar la geolocalització de manera contextual, oferint valor real a l' usuari en moments rellevants.
    • Evitar l' ús excessiu o intrusiu de les dades d' ubicació.
  6. Educació de l' usuari:
    • Informar els usuaris sobre els beneficis de compartir la seva ubicació i com es protegeixen les seves dades.
    • Proporcionar recursos educatius sobre privacitat i seguretat.
Implementació ètica d' estratègies basades en ubicació
  1. Per implementar estratègies de màrqueting basades en geolocalització de manera ètica, les empreses han de:
  2. Desenvolupar polítiques de privacitat clares i accessibles.
  3. Realitzar avaluacions d' impacte en la privacitat abans de llançar noves iniciatives.
  4. Formar el personal en pràctiques de privacitat i protecció de dades.
  5. Col·laborar amb experts en privacitat i ètica per garantir el compliment normatiu.
Tendències futures

El futur del màrqueting basat en geolocalització se centrarà en:

  1. Tecnologies de privacitat millorada, com l 'Edge Computing i la privacitat diferencial.
  2. Més integració de la intel·ligència artificial per oferir experiències personalitzades més precises i menys intrusives.
  3. Evolució de les regulacions de privacitat per abordar els desafiaments emergents en tecnologia de localització.
Conclusió

L' equilibri entre la personalització i la protecció de dades en estratègies de màrqueting basades en geolocalització és un desafiament continu però molt important.

 Les empreses que aconsegueixin aquest equilibri i ofereixin experiències personalitzades mentre respectin i protegeixin la privacitat dels usuaris estaran més ben posicionades per guanyar la confiança dels consumidors i destacar en un mercat cada vegada més competitiu i regulat.

La clau està en adoptar un enfocament centrat en l'usuari, en el qual la transparència, el control i l'ètica siguin els pilars fonamentals de qualsevol estratègia de màrqueting basada en ubicació.

Com sempre, cuideu les dades i cuideu-vos!

L’AEPD frena a SEAT: Lliçons d’una política de cookies defectuosa

per

L'AEPD ha proposat una sanció de 20.000€ a SEAT, S.A. per incompliments relacionats amb la protecció de dades personals, concretament, en la gestió inadequada de les cookies.

En una inspecció d'ofici duta a terme per l'Agència, sense mediar reclamació prèvia, es va observar que la pàgina web de SEAT utilitzava cookies la naturalesa de les quals no era tècnica i sense consentiment de l'usuari. La pàgina web activava cookies de funcionalitat i segmentació (com cookies de YouTube per a seguiment de preferències de vídeo i publicitat) sense que l'usuari hagués donat el seu consentiment explícit, la qual cosa incompleix l'exigència de recaptar el consentiment de l'usuari abans d'instal·lar qualsevol cookie no tècnica.

D'altra banda, tot i que les cookies sí que es podien gestionar des de l'accés a la política de cookies instal·lada al web de SEAT, no podien eliminar-se, si es desitjava, un cop acceptades.

«No és possible modificar el consentiment prestat a la utilització de cookies de naturalesa no tècniques o necessàries. Doncs, encara que s'opti per rebutjar ara totes les cookies, es comprova que les cookies instal·lades quan es va prestar el consentiment segueixen presents al navegador», indica l'AEPD.

Com que la revocació del consentiment no era efectiva, ja que les cookies no tècniques romanien actives i seguien enviant informació després que l'usuari intentava desactivar-les, l'AEPD va determinar una sanció de 20.000€, que va quedar reduïda a 12.000€ per reconeixement de la infracció i pagament voluntari.

Quines mesures hem de tenir implementades a la nostra pàgina web per assegurar-nos que no ens passa el mateix?

Mesures a implementar

  1. Obtenció del consentiment previ
  2. Mecanisme efectiu de retirada del consentiment
  3. Revisió de la classificació de cookies
  4. Millora del panell de control de cookies
  5. Actualització de la política de cookies

Implementació tècnica

  • Bloqueig de cookies no essencials
  • Sistema de gestió de consentiment
  • Eliminació efectiva de cookies

Consideracions addicionals

  • Realitzar auditories periòdiques per assegurar el compliment continu de la normativa.
  • Formar el personal tècnic i legal sobre els requisits de la LSSI en matèria de cookies.
  • Considerar la implementació d'una solució de Consent Management Platform (CMP) que compleixi amb els estàndards actuals de privacitat.

En implementar aquestes mesures, complirem amb l' article 22.2 de a LSSI-CE i evitarem possibles sancions.

 Per llegir la Resolució, feu clic aquí.

Com sempre, cuideu les dades i ¡cuideu-vos!

Drets digitals dels menors i màrqueting responsable

per

En un món cada vegada més digitalitzat, el màrqueting dirigit a menors ha cobrat una rellevància significativa, ja que la tecnologia està a l'abast de les persones cada vegada a una edat més primerenca. Per això, s' ha manifestat la necessitat d' implementar regulacions estrictes i estratègies responsables per protegir aquest grup vulnerable. Les noves normatives i pràctiques busquen equilibrar la influència del màrqueting digital mentre s'assegura el benestar i la seguretat dels menors.

Regulacions recents en màrqueting dirigit a menors

La Unió Europea ha estat pionera a establir regulacions que protegeixen els menors en l'entorn digital. La Llei de Serveis Digitals (DSA, per les seves sigles en anglès) és un exemple clau, ja que prohibeix la publicitat basada en perfils per a menors i obliga les plataformes en línia a avaluar els riscos sistèmics que puguin afectar els drets i el benestar mental dels infants.

D'altra banda, a Espanya, s'ha aprovat justament aquest any el Reial Decret d'«Usuaris d'Especial Rellevància», que obliga els influencers a etiquetar contingut per edats i prohibeix la promoció de productes com tabac o alcohol, assegurant que no es causi dany psicològic o físic als menors.

Estratègies de màrqueting responsable

1. Transparència i veracitat

L'ètica en la publicitat exigeix que les marques siguin transparents i veraços en les seves comunicacions. Això implica presentar informació precisa sobre productes i serveis, evitant afirmacions enganyoses que puguin erosionar la confiança del consumidor. Les campanyes han de ser clares sobre la seva naturalesa publicitària, especialment quan s' adrecin a menors.

2. Inclusió i diversitat

Les estratègies de màrqueting responsable també promouen la inclusió i diversitat. Per això, és fonamental que les campanyes reflecteixin una varietat de cultures i contextos perquè tots els infants se sentin representats. Això no només millora la percepció de marca, sinó que també fomenta un entorn més inclusiu.

3. Ús ètic dels influencers

L' ús d' influencers infantils requereix un enfocament ètic. Les marques s' han d' assegurar que aquests influencers promoguin productes adequats per a la seva audiència i compleixin amb les regulacions pertinents. A més, han d' evitar qualsevol contingut que pugui explotar la inexperiència o credulitat dels menors.

4. Contingut educatiu i entretingut

El contingut adreçat a menors ha de ser tant educatiu com entretingut. Les campanyes efectives utilitzen elements lúdics per captar l'atenció mentre transmeten missatges positius o educatius. Això no només ajuda a mantenir l'interès de l'infant, sinó que també contribueix al desenvolupament cognitiu.

Reptes actuals

Malgrat les regulacions i estratègies responsables, hi ha desafiaments significatius:

  1. Adaptació tecnològica: La ràpida evolució tecnològica requereix una constant actualització de les normatives per abordar noves formes de publicitat digital.
  2. Compliment global: Les diferències entre les legislacions nacionals i internacionals compliquen el compliment uniforme per part de les empreses globals.
  3. Equilibri entre creativitat i regulació: Les marques han de trobar un equilibri entre ser creatives i innovadores en les seves campanyes mentre compleixen amb les regulacions estrictes.

Conclusió

El màrqueting dirigit a menors és un camp delicat que requereix una atenció meticulosa tant des del punt de vista legal com ètic. Les recents regulacions busquen protegir els menors mentre permeten que les marques continuïn interactuant amb aquest públic de manera responsable. A mesura que avança la tecnologia, serà crucial que les empreses continuïn adaptant-se per garantir pràctiques publicitàries segures i efectives. En fer-ho, no només compliran amb les normatives vigents, sinó que també contribuiran al desenvolupament positiu de l' entorn digital per a les generacions futures.

Com sempre, cuideu les dades i cuideu-vos!

La protecció de dades personals i la publicitat dirigida: la decisió del TJUE contra Meta

per

El passat 4 d’octubre, el Tribunal de Justícia de la Unió Europea (TJUE) va fallar a favor de l’activista austríac Max Schrems en la seva disputa legal actual contra Meta Platforms, la companyia de Facebook (Assumpte C-446/21, Schrems v. Meta). Schrems havia interposat una demanda en un tribunal d’Àustria, argumentant que Meta havia dirigit anuncis basats en la seva orientació sexual a través de publicitat personalitzada, processant així les seves dades personals.

Aquest dictamen resulta rellevant quant als límits del tractament de dades personals per part de les xarxes socials, específicament en l’ àmbit de la publicitat personalitzada. Aquest veredicte no només reforça la importància de la protecció de la privacitat en l’entorn digital, sinó que també delimita clarament com les plataformes han de gestionar les dades dels seus usuaris.

Si bé és cert que Schrems mostra de forma pública la seva orientació sexual, això no legitima a Facebook l’utilitzar aquesta informació, juntament amb altres dades, per dirigir-li anuncis personalitzats. És important que reflexionem sobre els límits d’ús de les nostres dades. En aquesta era de digitalització, les dades—les nostres dades—circulen a velocitat vertiginosa. Tot i ser una cosa intangible, no podem oblidar que la seva transportabilitat és una característica ideal perquè les empreses comercialitzin amb ells. Evidentment, hem d’establir límits clars per protegir la nostra intimitat.

En el cas de Schrems, Meta s’ha justificat al·legant que els usuaris comparteixen informació sobre si mateixos en diverses plataformes i que això permet a l’empresa generar perfils detallats per oferir publicitat més rellevant. No obstant, Schrems mai havia compartit directament dades sobre la seva orientació sexual a Facebook, per la qual cosa els anuncis que rebia no estaven basats en informació publicada explícitament en el seu perfil, sinó en l ‘anàlisi dels seus interessos. Aquí és important destacar que Meta recull les dades personals dels usuaris de Facebook referides a les seves activitats tant en aquesta xarxa social com fora d’ella, com pàgines d’Internet i d’aplicacions de tercers.

Els límits del tractament de dades

Cal recordar que, segons el principi de minimització de dades, el tractament de les dades personals dels usuaris ha de ser mínim (art. 5.1.c) RGPD). L’ aplicació d’ aquest principi, per tant, hauria de restringir l’ ús de dades personals per oferir publicitat personalitzada. Tanmateix, Meta i moltes altres empreses es limiten a ignorar aquest precepte… ¿Vol dir això que les nostres dades personals es poden utilitzar de forma indefinida amb finalitats publicitàries? Després d’aquesta sentència, només una part de les dades emmagatzemades per les empreses podran utilitzar-se amb finalitats publicitàries, fins i tot quan els usuaris donin el seu consentiment.

El Tribunal ha subratllat la necessitat de les empreses de diferenciar entre els diferents tipus de dades i respectar la sensibilitat i el consentiment dels usuaris en tractar informació personal.

Amb aquesta sentència, el TJUE reafirma el seu compromís amb la protecció dels drets dels ciutadans europeus davant els gegants tecnològics, en particular amb relació a la publicitat dirigida. Les plataformes digitals hauran de reconsiderar com manegen l’agregació de dades dels usuaris, i com aquestes dades poden ser utilitzades per personalitzar els anuncis sense violar els drets de privacitat.

Conclusió

La sentència del TJUE contra Meta és una fita en la defensa de la privacitat de les dades en el món digital. En un entorn on cada vegada més informació personal és recopilada i processada, aquesta decisió destaca la necessitat de garantir que les empreses tecnològiques respectin els drets dels usuaris, fins i tot quan aquestes comparteixen certes dades públicament. Les xarxes socials i altres plataformes s’ han d’ alinear amb els principis establerts pel RGPD i assegurar-se que el tractament de dades sigui transparent, proporcionat i, sobretot, respectuós amb els drets fonamentals de les persones.

Com sempre, cuideu les dades i ¡cuideu-vos!

Més enllà del “Cosmetic compliance”

per

A l'àmbit empresarial, complir amb les normatives i regulacions és fonamental no només per evitar sancions, sinó també per construir una reputació sòlida i confiable. No obstant això, existeix un fenomen preocupant conegut com a "cosmetic compliance" o "compliment cosmètic", que es refereix a pràctiques superficials destinades a aparentar conformitat amb les lleis i regulacions sense realment adherir-s'hi. Aquest concepte, prestat dels programes de Compliance Penal, és especialment rellevant també en l'àrea de protecció de dades, on el compliment efectiu és crucial per protegir la privacitat i la seguretat de la informació personal.

En el context de la protecció de dades, el "cosmetic compliance" pot manifestar-se de diverses formes. Per exemple, una empresa pot dissenyar polítiques de privacitat detallades i completes, però si no s'implementen de manera efectiva o si els empleats no estan adequadament capacitats per seguir aquestes polítiques, la conformitat és només superficial.

Una altra manifestació d' aquesta pràctica és la utilització de tecnologies avançades per a la protecció de dades, sense configurar correctament aquestes eines o sense integrar-les adequadament en els processos operatius de l' empresa. Això pot crear una falsa sensació de seguretat tant per a l'empresa com per als clients, quan en realitat les dades poden estar en risc.

Com detectar el "Cosmetic Compliance" en Protecció de Dades

Textos Legals Web "copiats i enganxats"

Un dels exemples més comuns de "cosmetic compliance" és l' ús de textos legals copiats i enganxats d'altres fonts. Moltes empreses copien polítiques de privacitat, termes i condicions, o avisos legals d'altres pàgines web sense adaptar aquests documents a la seva pròpia realitat operativa i regulatòria. Això no només és una infracció de drets d' autor, sinó que també pot portar a un incompliment real, ja que aquests textos poden no reflectir les pràctiques i necessitats específiques de l' empresa.

Política de Cookies Irreal

Una altra pràctica comuna és la implementació de polítiques de cookies que no reflecteixen la realitat de les cookies que s'instal·len al navegador del client. Algunes empreses publiquen polítiques detallades sobre l'ús de cookies, però a la pràctica instal·len més cookies de les declarades, o cookies amb finalitats diferents a les anunciades.

Manca de Signatura d' Acords de Confidencialitat o de Contractes d' Encarregat de Tractament

L'absència d'acords de confidencialitat o contractes d'encarregat de tractament adequats és un altre senyal de "cosmetic compliance". Les empreses han d'assegurar que qualsevol tercer que manegi dades personals en el seu nom (com a proveïdors de serveis) estigui legalment obligat a protegir aquesta informació, sense excepció. La manca d' aquests acords pot posar en risc la seguretat de les dades i contravenir les normatives de protecció de dades.

Manca d' Implementació de Mesures de Seguretat Efectives

L' adquisició d' eines avançades de seguretat sense una integració adequada en els processos operatius és un altre indici. Si una empresa inverteix en tecnologia de protecció de dades, però no configura aquestes eines correctament o no les utilitza de manera coherent amb les seves polítiques, està simplement aparentant compliment.

Auditories Internes Inadequades

Les auditories internes que són infreqüents, superficials o realitzades per personal no qualificat poden ser un signe de "cosmetic compliance". Les auditories efectives han d' ésser exhaustives i dutes a terme per professionals capacitats que puguin identificar i corregir deficiències en les pràctiques de protecció de dades.

Conclusió

El "cosmetic compliance" és una pràctica que pot tenir greus conseqüències per a les empreses, tant en termes de sancions econòmiques com de pèrdua de confiança dels clients, entre d'altres.

És molt important que l' empresa implanti una cultura interna de compliment, no només pel que fa a privacitat, sinó també en les altres àrees de responsabilitat. Això requereix tenir una estratègia i, des de la responsabilitat proactiva i partint dels principis del RGPD de protecció des del disseny i per defecte, la protecció de dades es prepari abans d' iniciar les activitats i que el tractament estigui configurat per utilitzar únicament les dades personals estrictament necessàries.

I la direcció ha d' implicar tota l' empresa en el compliment.

I, com sempre, cuideu les dades i ¡cuideu-vos!

Complir amb la Llei o Córrer el Risc: La Importància de la Protecció de Dades a les Pimes

per

Introducció

En un món digital en constant evolució, la protecció de dades personals ha cobrat una importància sense precedents. L'AEPD, a l'empara del Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD), ha intensificat la seva vigilància i sanció en casos d'incompliment. Les petites i mitjanes empreses (Pimes) no estan exemptes d'aquestes obligacions i enfronten desafiaments significatius que poden tenir conseqüències severes, no només econòmiques sinó també reputacionals. En aquest article, analitzem recents sancions imposades per l'Agència Espanyola de Protecció de Dades (AEPD) amb l'objectiu de conscienciar els empresaris de la rellevància d'un compliment eficaç i responsable.

El Cost de l' Incompliment: Casos Recents

L'AEPD ha demostrat el seu compromís a fer complir les normatives de protecció de dades, com ho reflecteixen les sancions recents a diverses Pimes. Un cas destacat és el d'una empresa d'Outsourcing que va ser multada amb 365.000 euros per sol·licitar l'empremta dactilar dels seus treballadors sense complir amb els principis de legalitat, consentiment i informació requerits pel RGPD. Aquest cas subratlla la importància de respectar la sensibilitat de les dades biomètriques, considerades categories especials de dades personals sota el RGPD.

Un altre exemple rellevant és el d'un hotel, al qual l'AEPD va imposar inicialment una multa de 40.000 euros per recaptar dades excessives d'un passaport, una pràctica no alineada amb el principi de minimització de dades. No obstant això, després d'una apel·lació, l'Audiència Nacional va reduir la sanció a 15.000 euros, considerant el nivell d'ingressos del negoci i la falta d'intenció en l'incompliment.

Finalment, en un cas ja clàssic, una òptica va ser multada amb 10.000 euros per enviar publicitat a un client sense el seu consentiment previ, infringint la LSSICE que prohibeix les comunicacions no sol·licitades o expressament autoritzades per els destinataris d'aquestes.

Més Enllà de la Multa Econòmica: L'Impacte Reputacional

Aquests casos no només suposen un desafiament financer per a les Pimes afectades, sinó també poden afectar seriosament la seva reputació. La percepció pública d'una empresa es pot deteriorar ràpidament si se'l vincula amb pràctiques irresponsables o il·legals en la gestió de dades personals. El cost reputacional es pot traduir en pèrdua de clients, disminució de la confiança del consumidor i dificultats per atreure inversions.

I això és així perquè les empreses són responsables davant de tots els interessats (empleats, clients, proveïdors, socis, accionistes, inversors, administracions i de la societat en general), i de tota la normativa aplicable a la seva activitat que inclou, naturalment, la protecció de dades.

Conclusió

La protecció de dades personals és un pilar fonamental per a les empreses en l'era digital. Les sancions imposades per l'AEPD no només busquen penalitzar, sinó principalment conscienciar i orientar les empreses cap a un compliment rigorós i conscient. És essencial que les Pimes entenguin i adoptin les mesures adequades per garantir que les dades que gestionen estan protegides adequadament, respectant els drets de les persones.

És important que les Pimes inverteixin en formació i assessoria en protecció de dades. Integrar pràctiques de privacitat des del disseny i per defecte, realitzar revisions de risc o avaluacions d' impacte periòdiques i mantenir una política de transparència són passos clau per mitigar els riscos de sancions i danys reputacionals.

El compliment de les normatives de protecció de dades no és només una obligació legal, sinó una inversió en la confiabilitat i sostenibilitat de l' empresa. En educar i aplicar correctament les lleis de protecció de dades, les Pimes no només eviten sancions, sinó que enforteixen la seva reputació i competitivitat en el mercat.

Així que complim, pel bé de tots. I, com sempre, cuideu-vos!!

Revisió Texts legals web