Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Publiques fotos dels teus treballadors a la web o a les xarxes socials?

per

Doncs cal anar en compte. L’AEPD ha sancionat a una empresa amb 9.000 euros per publicar a la seva web i xarxes socials fotos d’un treballador sense el seu consentiment.

Perquè publicar imatges d’un treballador sense permís és sancionable però no fer cas de les peticions per retirar-les encara més. Això és el que li ha passat a una empresa de formació que ha estat sancionada amb 9.000 € per tractar les dades del treballador sense consentiment (6.000 €) i no atendre les demandes per eliminar las imatges de les xarxes socials (Facebook i Instagram), uns altres 3.000 €. A més del cost reputacional, és clar. No és cap broma.

Així ho ha entès l’AEPD en la seva Resolució de Procediment Sancionador. L’empresa va publicar fotografies de la treballadora sense consentiment. I la treballadora va demanar a l’empresa, al menys en dos ocasions, que retiressin les fotografies en les que apareixia, sense que l’empresa atengués la seva petició. Després de intentar-ho una segona vegada, de nou sense èxit, la treballadora afectada va presentar una reclamació, el novembre de 2020, davant l’AEPD.

L’Agència va intentar posar-se, per diferents vies, en contacte amb l’empresa sense aconseguir-ho. Va quedar acreditat que l’empresa havia dut a terme un tractament de dades consistent en haver pujat les fotografies a la seva pàgina web i a les seves xarxes socials. No consta que l’exhibició de les imatges estigués emparada per cap base legitimadora del art. 6 RGPD (per exemple, el consentiment), quedant acreditada la comissió de la infracció.

Per agreujar-ho més si és possible, l’empresa no va atendre el dret de supressió de la interessada, emparat per l’article 17 RGPD, i no va excloure les dades personals del seu tractament. Segons aquest article “l’interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin”. I el responsable estarà obligat a suprimir sense tardar les dades personals quan, entre altres condicions, es doni la que recull l’apartat “d) les dades personals hagin estat tractades il·lícitament”.

Per graduar les sancions, l’Agència considera que els tractaments venen de lluny -des del 2017 al 2020-, la quantitat no és escassa i l’abast és important ja que figuren en dos xarxes socials i la pròpia web de l’empresa. Respecte a la infracció per no atendre el dret de supressió de l’article 17 RGPD, l’Agència relata que es va sol·licitar en dos ocasions, sense obtenir cap resposta, el que posa de manifest un manca de compliment en els deures que li corresponen a l’empresa.

Aprenguem la lliçó. No es poden publicar imatges dels treballadors sense el seu consentiment. Atenguem les peticions de supressió que ens facin. La manca de diligència és imperdonable. I un recordatori. Quan un treballador deixa l’empresa (acomiadat o per voluntat pròpia), recordem suprimir les imatges en les que apareix (web, xarxes, fulletons, anuncis, etc.). Tret, es clar, que no tinguem el seu consentiment exprés.

Com sempre, Cuideu-vos!

L’agressió sexual ja està passant al metavers

per

Meta afirma que els usuaris no ho feien servir correctament. La plataforma de realitat virtual  Horizon Worlds, amb prou feines acaba de presentar-se al públic, i els usuaris ja estan sent assetjats sexualment i fins i tot agredits, segons podem llegir a The Verge.

Comencem per el principi. Què és Meta? El passat mes d’octubre, per els que ho desconeixen, l’inefable Mark Zuckerberg va presentar Meta, la nova marca de Facebook, la finalitat de la qual serà donar vida al metavers i ajudar la gent a connectar-se, trobar comunitats i fer créixer negocis. En la presentació, Zuckerberg va explicar que, a partir d’ara, la seva companyia es centraria en aquesta en fer realitat aquesta idea, la del metavers, i, per tant, tenia sentit canviar el nom per reflectir millor els seus objectius: Facebook ara es diu Meta.

La realitat és que, segons sembla, el canvi de nom representa un intent per desfer-se de lo que els propis empleats consideren una marca tòxica i que afecta, cada dia més, a la percepció dels seus productes. La marca que fins fa uns anys era reconeguda i valorada, ha perdut la seva reputació, val a dir, que per els errors comesos per el seu fundador. Els escàndols de privacitat s’associen cada cop més amb la marca FB. Recordem només el de Cambridge Analytica que, tot i ser dels més famosos, no ha estat l’únic ni molt menys.

I què és el metavers? Podríem entendre-ho com un ciberespai evolucionat. En un sentit ampli, involucra una sèrie de tecnologies, la primera de les quals és la realitat virtual, caracteritzada per mons virtuals persistents que continuen existint, amb vida pròpia, encara que tu no hi siguis. L’accés al metavers es fa a través d’ulleres de realitat virtual com, per exemple, Oculus. El metavers obre nous horitzons i un munt de possibilitats. Com podia ser Internet a finals dels 70 del segle passat. Ningú sabia exactament com seria però tothom (els que estaven al corrent de la tecnologia) tenien la percepció que seria una cosa gran. Bé, al final esta sent una cosa immensa que no es veu on acabarà.

I tot això és per explicar que la plataforma de Zuckerberg ja ha patit la primera ensopegada. En efecte, ja han arribat les primeres denúncies per assetjament i fins i tot per agressió sexual. Segons un testimoni, “No només em van palpar ahir a la nit, sinó que hi havia altres persones que van donar suport a aquest comportament que em va fer sentir aïllada a la Plaça.”

La condició humana no canvia ni tant sols en el metavers. Comportament delictiu en uns i mirar cap un altra cantó, els altres. Està clar que ens hem d’adaptar el que ve perquè és inevitable. De manera similar a que no poden anar contra la llei de la gravetat, tampoc podem anar contra el metavers. Això sí, ja de bon començament hem de assentar les bases de convivència. Si no, se’ns anirà de les mans.

Com sempre, cuideu-vos (en el metavers, també)!

FanPages, compliment obligat del RGPD

per

Arran d’una consulta empresarial, fem aquest post per aclarir conceptes sobre la relació entre les FanPages i el RGPD. La resposta curta és que sí, les empreses que les fan servir han de complir amb la normativa de protecció de dades.

Començarem per explicar, per qui no ho sàpiga, què és una FanPage. Las fanpages són una funcionalitat que Facebook va introduir ja fa anys. És una pàgina creada especialment per ser un canal de comunicació amb fans dins de la xarxa social.

A diferència dels perfils, són espais que reuneixen a persones interessades sobre un assumpte, empresa, una causa o algun tret en comú sense la necessitat de l’aprovació d’amistat. És el fan qui tria si seguirà o no les actualitzacions d’una determinada pàgina.

Són canals de comunicació molt apreciats per les empreses perquè és una forma econòmica, ràpida, senzilla i quantificable de comunicar en temps real amb clients potencials. Una espècie de televisió o ràdio o diari però amb uns costos infinitament més econòmics.

Les preguntes que ens feia l’empresari eren bàsicament dos: estem obligats a complir amb el RGPD i, si és així, què hem de fer?

A efectes de la normativa de protecció de dades, aquestes pàgines funcionen com una pàgina web. Recullen dades personals dels usuaris i, per tant, s’ha d’aplicar la mateixa normativa, és a dir, proporcionar accés a l’Avís legal, a la Política de Privacitat i a la Política de Cookies de l’empresa. I naturalment que tota la documentació compleixi la normativa vigent. Si a més, com és freqüent, l’empresa instal·la el píxel de seguiment de Facebook, amb més motiu. Però del píxel ja en parlarem un altre dia.

Dit això i entenen que és una pàgina situada en una plataforma en la que l’empresa té molt poc marge de maniobra, convé establir qui és realment el responsable de les dades personals, l’empresa o Facebook. Doncs tots dos.

Una sentència de juny de 2018 del Tribunal de Justícia de la Unió Europea va resoldre que el concepte de responsable del tractament comprenia també a l’administrador d’un pàgina web allotjada en una xarxa social. Segons la sentència, tot i que Facebook tracta les dades personals mitjançant cookies sense informar a l’empresa, no és menys cert que FB posa a disposició de l’empresa estadístiques (anonimitzades) dels visitants i que l’empresa pot definir criteris a partir dels quals s’han d’elaborar les estadístiques i, fins i tot, designar les categories de persones les dades de les quals seran objecte d’explotació per part de FB. La sentència conclou que l’administrador de la pàgina ha de ser qualificat com responsable del tractament conjuntament amb FB.

Per tant hem de complir: informar de les dades i la seva finalitat, recollir el consentiment explícit per el tractament, demanar només les dades necessàries, no fer servir les dades per finalitat diferent a la demanada, no conservar les dades més temps del necessari, implementar mesures i organitzatives adequades, atendre les sol·licituds d’exercici dels drets dels usuari i crear la corresponent activitat en el Registre.

Com sempre, atents a tots els detalls de compliment. I si teniu dubtes, consulteu-nos.

I el més important, cuideu-vos!

Registre de Jornada i Dades biomètriques, una relació difícil

per

El tractament de dades biomètriques sempre comporta una dificultat afegida com és la de realitzar l’obligatòria Avaluació d’Impacte (AIPD). La identificació biomètrica implica el tractament de categories especials de dades per a les quals el Reglament requereix garanties reforçades. Les identificacions més comunes d’aquest tipus són la facial i l’empremta digital. D’aquesta última i de les conseqüències de fer-ho malament en parlem en aquest post.

I és que l’AEPD acaba de sancionar a una empresa per implantar indegudament un registre de jornada laboral mitjançant l’empremta digital. En la resolució s’imputa a la reclamada que, al tractar-se de dades de categoria especial i existint l’obligació  de fer una Avaluació d’Impacte, va incomplir l’article 35 RGPD. Aquest article diu que quan sigui probable que el tractament, en especial si es fan servir noves tecnologies, pot comportar un alt risc per els drets i llibertats de les persones físiques, el responsable realitzarà, abans del tractament, una Avaluació d’Impacte de les operacions de tractament en la protecció de dades personals.

En la Resolució, l’AEPD considera que l’empresa tractava dades de categoria especial, dades biomètriques, però l’empresa insisteix en que la tecnologia emprada és la de verificació / autenticació biomètrica que no entra en la categoria especial de dades i, en conseqüència, no exigiria la realització d’AIPD. Les dades d’identificació biomètrica que permeten identificar de manera unívoca a una persona física serien les que obligarien a realitzar l’Avaluació, com és el cas que ens ocupa.

També senyala la Resolució que existeixen mitjans menys intrusius per mantenir aquest tipus de registres i que la tecnologia emprada no superava el necessari judici de proporcionalitat que es tenia que haver fet i que hi ha sistemes alternatius com, per exemple, targetes identificatives.

Des del punt de vista laboral, l’Agència considera que les empreses no haurien d’emparar-se en el consentiment com base legitimadora del tractament, tret que es tracti de casos excepcionals. I això perquè no es parteix d’una posició d’equilibri entre les parts perquè en la relació laboral hi ha una relació de subordinació. El consentiment només pot ser vàlid si l’interessat pot realment triar i no existeix  un element de compulsió, pressió o incapacitat per exercir la lliure voluntat. A més, ha de ser possible retirar-lo en qualsevol moment, sense cost ni desavantatge per l’interessat, i s’han d’oferir alternatives. Per últim, els interessats tenen dret a la supressió de les dades quan el consentiment s’ha retirat.

Com a conclusió, val dir que la tecnologia de reconeixement biomètric és molt invasiva, que cal distingir entre identificació biomètrica (requereix AIPD) i autenticació biomètrica, menys intrusiva, i que hi ha sistemes més proporcionats per portar el control de la jornada horària dels treballadors. I tenir tot això en compte perquè la multa ha estat de 20.000€.

Com sempre, cuideu-vos!

Fotos i Xarxes socials, amistats perilloses

per

No cal recordar la implantació de les xarxes socials a la nostra societat, amb tasses de penetració entre els internautes superiors al 80% a Whatsapp o Facebook, i de la facilitat que ens ofereix la tecnologia per fer fotografies (o copiar-les) per pujar-les a les xarxes i distribuir-les en segons a milions d’usuaris. Lluny queda aquella fotografia analògica que potser tenia més “glamour” però, per descomptat, no tenia les avantatges de l’actual. Però aquestes avantatges, si no som curosos, ens poden complicar molt la vida.

I això ve a compte de l’alerta de la Fiscalia de Delictes Informàtics de Barcelona sobre l’augment, coincidint amb la pandèmia, de denúncies davant la policia per la captació de fotos que les adolescents, principalment noies entre 12 i 18 anys, pengen a les xarxes socials per utilitzar-les com reclam en portals pornogràfics de pagament a Internet.

Heu llegit bé. Les adolescents -des del 12 anys- pugen fotos lleugeres de roba o en bikini i en postures més o menys explícites, per atraure més seguidors. I les web pornogràfiques fan servir aquestes imatges per promocionar la seves pàgines, aprofitant-se fins i tot, de la popularitat que aquestes noies poden tenir com “influencers”.

Tot i ser cridanera aquesta utilització injusta de les fotografies com ham, no és ni de lluny l’única amistat perillosa que poden trobar en el binomi fotos i xarxes. Aquí en recollim alguns.

Menors. Els progenitors, independentment del seu estat civil, són els responsables de que es respectin el dret a la imatge, al honor i a la intimitat del menor. I són els que han d’autoritzar que es comparteixin imatges dels seus fills. A partir dels 14 anys però, segons la Llei Orgànica 3/2018 (LOPD), és el menor qui ha d’autoritzar la publicació.

Drets d’autor. Partint de la Llei de Propietat intel·lectual, hem de prendre precaucions per respectar els drets d’autor. Hem de recordar que els drets d’explotació de les fotografies pertanyen en exclusiva al seu autor. Per compartir fotografies a les xarxes socials, hem de comptar amb una autorització expressa de l’autor. Un altre dia aprofundirem més en aquest tema.

Àmbit laboral.  L’ús indegut en horari laboral pot ser un agreujant en cas d’acomiadament disciplinari. A tal d’exemple, fotografiar-se conduint el vehicle d’empresa en horari laboral sobrepassant el límit de velocitat o publicar una foto a Facebook, identificant-se com treballador de l’empresa, recomanant als seus seguidors no comprar en aquesta empresa.

Delictes. Pujar fotografies a la xarxa pot ser constitutiu de delicte en determinats casos. Els més coneguts són el Cyberbullying (assetjament), Stalking (persecució), Grooming (pederastes a Internet) o Sextorsión (xantatge sexual). Per part de les víctimes existeixen comportaments que, tot i ser innocents, posen en perill la seva intimitat i poden donar peu a ser atacats. Parlen de Oversharing (sobreexposició), Sharenting (sobrecompartició) o Sexting (enviar/rebre fotografies més o menys explícites).

Conseqüències de l’ús indegut. En funció de la naturalesa de la conducta, la gravetat i el seu encaix penal, ens podem trobar des d’una multa fins a una condemna a presó. Per això cal estar molt atent a aquestes “amistats perilloses.

Com sempre, cuideu-vos!

Whatsapp: el cost de fer-ho malament

per

Quan arriba el setembre, els grups de Whatsapp es multipliquen sense control. Començant per les escoles que fan grups de pares (de la classe, de natació, …) fins els grups esportius per jugar a pàdel o a futbol, passant per tota mena de col·lectius (per una boda, per feina, etc.) de lo més variat, tothom s’anima a apuntar-se i apuntar altres als grups. Però com tot, s’ha de fer bé per no patir-ne les conseqüències.

Incloure en un grup a persones sense el seu consentiment pot comportar sancions econòmiques. Això és el que li ha passat a un Club esportiu el qual, en una recent resolució de l’Agencia Espanyola de Protecció de Dades, ha estat sancionat amb una multa de 4.000€ per afegir el número de telèfon d’una usuària a un grup de Whatsapp sense demanar-li autorització.

Un cop captada l’atenció en el titular, convé fer diverses apreciacions sobre la noticia.

Es tracta d’una infracció administrativa que pot ser sancionada amb una multa de fins a 20.000.000€ com a màxim o, tractant-se d’una empresa, de una quantia equivalent al 4% del volum de negocio total anual global de l’exercici financer anterior. L’AEPD però considera graduar la sanció al entendre l’acció ha estat negligent no intencional, però significativa ja que, tot i que la reclamant no es clienta des de fa més de 10 anys, el Club encara conservava les seves dades. El Club hauria d’haver donat de baixa les dades quan va deixar de ser clienta.

A més, l’entitat esportiva ha tractat les dades personals de la reclamant sense el seu consentiment. La llei determina que el tractament només serà lícit si el interessat va donar el seu permís per el tractament específic.

El Club també va cometre dos infraccions més, contra la seguretat del tractament, per no garantir la confidencialitat de les dades, com a conseqüència d’unes mesures de seguretat (tècniques y organitzatives) inadequades.

Per cada una de les infraccions, l’AEPD imposa una sanció de 1.000€ que fa un total de 4.000€.

Aprofitem per recordar, i per estalvia ensurts, que la normativa no s’aplica al tractament de dades personals dut a terme per una persona física en l’exercici d’activitats exclusivament personals o domèstiques (per exemple, grup per celebrar un aniversari o una reunió d’antics alumnes creat per un pare o un ex-alumne). Com que no sempre les distincions són clares, recomanem, en cas de dubte, fer una consulta prèvia. Val més això que no lamentar-nos posteriorment.

I recomanar, com sempre, fer les coses bé perquè hem de mesurar les conseqüències no tan sols en termes econòmics, que també, sinó en termes reputacionals que sempre són més onerosos per el professional o l’empresa.

Cuideu-vos!

Facebook? Quina sorpresa!

per

Frances Haugen, de 37 anys, que treballava com a responsable de producte a l’equip d’integritat cívica de Facebook, va ser entrevistada diumenge per CBS. Va dir que els documents que va filtrar demostraven que Facebook prioritzava repetidament el “creixement per sobre de la seguretat”. Facebook va dir que les filtracions eren enganyoses i que havien passat per alt les investigacions positives realitzades per la companyia.

Com diu el titular, quina sorpresa! Ja fa molts anys que FB és font de controvèrsies per les seves pràctiques que es poden qualificar, com a poc, de fosques o de delictuoses directament. Recordem el famós escàndol de Cambridge Analytica amb l’ús d’informació de milions d’usuaris sense el seu consentiment per comercialitzar-los il·legalment amb tercers. Des de tractar a les personalitats de manera diferent segons biaixos interessats fins a ser acusat de donar una resposta “feble” a les preocupacions dels seus treballadors sobre el tràfic de persones, passant per afrontar demandes dels seus propis accionistes o fer-se autopublicitat a través dels feeds de notícies dels usuaris per millorar la seva imatge, tot són exemples de mala praxis com poc. Whatsapp, compartint informació dels usuaris amb FB, i Instagram acusada per les adolescents de fer-les sentir malament amb el seu cos, tampoc se’n lliuren.

I, mentrestant, el penúltim ensurt l’hem patit aquesta mateixa setmana amb la caiguda simultània de tota la xarxa de FB (a més de FB, van caure Whatsapp, Instagram, Messenger i Oculus) i la interrupció dels serveis que ha afectat a milions d’usuaris. Fins i tot a treballadors de FB que no es podien comunicar entre ells i que van tenir que fer servir eines alternatives de la competència. Estar clar que  això deu ser una qüestió del karma. No hi pot haver-hi un altre.

I deia penúltim ensurt perquè, i no ha acabat la setmana, ahir es publicaven informacions que asseguren que estan a la venda dades personals de més de 1.500 milions d’usuaris de FB en fòrums de hackers. Si la noticia es confirma, sempre convé ser cautelós amb aquest tipus d’informació, definitivament, aquesta no és la setmana de Marck Zuckerberg.

A propòsit de tot això, podem fer un parell de reflexions sobre la marxa. La primera, obvia, és que el model de negoci de FB necessita regular-se. Sembla evident que l’autoregulació per part de les big-tech (no parlem sols de FB) no funciona. Aquestes companyies han experimentat, en vint anys, uns creixement exponencials que els hi ha proporcionat uns poders i una influència (sobre usuaris, empreses i, fins i tot, governs) extraordinaris, sustentats amb uns rendiments econòmics fabulosos. No havia estat mai a l’abast de ningú poder dirigir-se simultània i instantàniament a milers de milions d’habitants amb qualsevol missatge sense cap trava. I, a més, poder fer amb les dades personals, literalment, el que els hi interessi en cada moment. No és fàcil però convé que posem peu a paret lo abans possible.

La segona reflexió, també obvia, és que, en aquest estat de la qüestió i a tall individual, hem de posar els nostres mitjans per preservar la nostra privacitat. Conductes adequades, protocols, eines i tot allò que estigui al nostre abast ho hem de posar en marxa per el nostre compte.

Com sempre, cuideu-vos!

Videovigilància, acomiadament i protecció de dades

per

En una recent sentència, el Tribunal Suprem ha admès que un acomiadament es provi amb un vídeo que vulnera la protecció de dades. El Suprem  afirma que la gravació pot ser admissible en un procediment laboral encara que en un altre procediment s’estableixi que atenta contra la normativa de privacitat. Aquesta diferenciació té importants conseqüències, com veurem a continuació.

El cas es va donar quan una empresa de seguretat va acomiadar a un guàrdia de seguretat per transgressió de la bona fe contractual, frau, abús de confiança i deslleialtat al no dur a terme les tasques encomanades (revisió de vehicles a l’entrada del recinte) per l’empresa i firmar i lliurar els registres diaris com que efectivament s’havien fet.

Segons la resolució coneguda dies enrere,  el que és rellevant és que el treballador coneixia la existència del sistema de videovigilància i que la gravació és vàlida com a prova, sense perjudici que l’empresa pugui tenir altres responsabilitats en l’àmbit de la normativa de protecció de dades. En conseqüència, el Suprem obliga a repetir el judici en el que les imatges no van ser admeses com a prova.

La Sala de lo Social del Suprem recorda que l’article 89.1 de la Llei Orgànica 3/2018, de 5 de desembre de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) estableix que, en el supòsit de comissió flagrant d’un acte il·lícit per part del treballador, i seguint la sentència del TEDH coneguda com López Ribalda II, s’entendrà complert el deure d’informar quan existeixi un dispositiu informatiu amb dades pertinents i clarament visible. No és obligat especificar “la finalitat exacte que s’ha assignat al control en qüestió”.

A l’empresari, però, és a qui li correspon aportar les proves necessàries per demostrar la veracitat dels fets imputats a la carta d’acomiadament. En aquesta línia, el Suprem afegeix que, d’acord amb l’article 24.2 de la Constitució, l’empresari té dret a utilitzar “els mitjans de prova pertinents per a la seva defensa”.

Diu també la sentencia que el fet que les càmeres fossin de Ifema i no de Securitas pot ser rellevant des del punt de vista de la protecció de dades però no ha de portar a impedir que Securitas aporti en un judici laboral unes gravacions que poden ser necessàries per satisfer la càrrega de la prova que sobre ella recau.

En aquest cas, el Suprem entén que la prova era “una mesura justificada, idònia, necessària i proporcionada al fi perseguit” satisfent així les exigències de proporcionalitat que imposen la jurisprudència del constitucional i el TEDH.

Per tot l’exposat, el Suprem admet el recurs de cassació plantejat per l’empresa i torna l’assumpte al jutjat de lo Social que va resoldre en primera instància, manant que celebri un nou judici admetent les gravacions com a prova.

Aquesta resolució obre una porta interessant quan assegura que “el nostre examen s’ha de cenyir a si la prova s’havia d’admetre o no, sense que hagi d’estendre’s a si es van complir tots els requeriments de la legislació de protecció de dades, tant des de la perspectiva de la relació de l’empresa amb el treballador acomiadat, com de la relació entre Securitas i Ifema”.

Com sempre, cuideu-vos!

És obligatori contestar a les demandes d’ocupació?

per

Estem en unes circumstàncies econòmiques que fa que les demandes d’ocupació siguin força elevades. Les empreses reben un número creixent de currículums, molts d’ells no sol·licitats, que s’han de gestionar, entre altres, des del punt de vista de la Protecció de Dades. Arrel d’una resolució de l’AEPD, avui ens ocupem d’un d’ells: l’obligatorietat de l’empresa d’informar sobre què farà amb el CV.

Fins ara, no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals és un pràctica habitual en les empreses per diferents raons: falta de protocols, de informació, desinterès o, simplement, saturació de feina.

Però aquesta situació pot canviar radicalment perquè l’Agència Espanyola de Protecció de Dades (AEPD) acaba de sancionar a una empresa amb 2.000€ de multa per no identificar de forma apropiada al responsable del tractament, ni comunicar al candidat la possibilitat d’exercir els seus drets davant el responsable del tractament  ni la destinació que s’anava a donar a les seves dades. A més, l’entitat reclamada no disposa de Delegat de Protecció de Dades (DPD).

El tràmit es va efectuar per WhatsApp, la qual cosa en posa en alerta perquè quan obrim un canal de comunicació nou, com pot ser un sistema de missatgeria front al convencional correu electrònic, hem de ser curosos e implantar un protocol a l’empresa que tingui en compte les particularitats i especificacions del canal per evitar sorpreses posteriors. En el present cas, el candidat va contactar per telèfon i va remetre el CV per WhatsApp, sense rebre justificant de recepció.

El candidat va remetre a l’AEPD les captures de pantalla amb els missatges intercanviats per WhatsApp, en les que no apareix cap informació relativa al tractament de les dades. L’empresa reclamada no va procedir a presentar al·legacions ni proves en el termini d’audiència per la qual cosa l’Agència va continuar amb el procediment.

L’AEPD considera que s’ha infringit l’article 13 del RGPD que fa referència a la informació sobre el tractament que s’ha de facilitar als interessats quan les dades personals provenen d’ell mateix, així com la resta de informació necessària per garantir un tractament de dades lleial i transparent.

 Un altre dia parlarem de la resta d’obligacions que tenim envers els candidats com la manera i el temps de conservació dels currículums i dels protocols que l’empresa ha de tenir implantats per donar resposta a les candidatures. Però el que ens ha de quedar clar és que hem d’estar ben assessorats i complir amb les nostres obligacions. D’altre manera, podem ser sancionats i, els que és pitjor, patir una pèrdua reputacional que pot costar molt de recuperar. 

Mentrestant, cuideu-vos! 

I les contrasenyes?

per

A propòsit d’una recent resolució de l’AEPD en la que apareix com indicador d’un ús no diligent de les seves claus per part d’un usuari, escrivim aquest post. El cas és que les claus van aparèixer en el lloc web haveibeenpwned.com. En la resolució s’al·lega que el reclamant és un exponent d’acreditada escassa diligència en la gestió i custòdia de les seves credencials.

Podríem traduir lliurement del anglès el terme “pawned” com “compromès”. El lloc web ofereix un servei gratuït perquè l’usuari pugui comprovar si la seva direcció de correu electrònic o contrasenyes apareixen en les seves llistes i, en conseqüència, si les seves claus han estat compromeses y convé canviar-les immediatament.

Perquè són importants les contrasenyes?

Accés a la gestió de la informació, utilització de serveis com la banca online o compres per internet són tres exemples quotidians en els que fer servir contrasenyes adequades resulta imprescindible.

Si poden suplantar la nostra identitat, poden tenir accés a la nostra informació confidencial (per exemple, l’emmagatzemada en el cloud amb documents, fotos y vídeos, etc.), entrar en el nostre compte bancari (amb conseqüències imprevisibles) o fer compres importants que haurem de pagar nosaltres.

Què hem de fer?

La majoria de consells que es poden donar són de sentit comú. Sobretot, d’allò que no s’ha de fer. Post-it en el monitor, sota el teclat, llibretes amb llista de claus, … són pràctiques que ja fa temps haurien d’estar desterrades.

En qualsevol cas, convé insistir.

  • No compartir la contrasenya amb ningú
  • Contrasenyes robustes (al menys 8 caràcters, majúscules, números, símbols, …
  • No fer servir la mateixa contrasenya en diferents serveis. Per exemple, la del banc i la de Facebook.
  • No entrar en un servei amb el compte de Google o FB. Si aquest es veu compromès, l’atacant tindrà accés a tots els serveis que depenen d’aquest compte. I de molts altres perquè, estigueu segurs, ho provaran amb tots.
  • Compte amb les preguntes de seguretat. Mira que només tu coneguis la resposta (i que no es pugui deduir de les teves xarxes socials: data de naixement, nom de la mascota, etc.)
  • Fer servir sempre que sigui possible el doble factor d’autenticació (2FA).
  • Utilitzar gestors de contrasenyes. Hi ha moltes opcions en el mercat a preus molt assequibles

Què passa si el nostre compte apareix a haveibeenpwned.com?

Doncs que òbviament estem en una situació compromesa i hem d’actuar immediatament.

Primer identificant els correus i contrasenyes que han estat exposats. A continuació, fent servir un gestor, generar contrasenyes fortes i diferents per tots els serveis compromesos, començant per els més crítics (primer el banc abans que el FB) i canviar-les totes.

Cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web