Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

MWC23, reconeixement facial i inquietuds de privacitat

per

No és cap secret que la tecnologia ens pot facilitar molt la vida a les persones. Per exemple, a l’hora entrar en el Mobile World Congress 2023. Arribes a l’entrada al mateix moment que uns altres centenars de ciutadans i la primera preocupació és imaginar-nos una hora fent cua en els mostradors d’acreditació. Però no, la primera agradable sorpresa és que no hi ha cua. Literal. Si has fet els deures i disposes del teu passi d’accés digital, pots entrar sense aturar-te mitjançant la tecnologia de reconeixement facial. Voilà!

Què es el MWC23?

Segons l’organització, el MWC és l’esdeveniment de connectivitat més gran i influent. I estic segur que ho és. Si, segons la RAE, la pornografia és la presentació oberta i crua del sexe que busca produir excitació en el receptor, podem qualificar l’espectacle del Congrés com de tecnogràfic. Busca provocar l’excitació en l’espectador a base de presentar-li oberta i cruament les més avançades tecnologies. I s’ha convertit en una orgia desenfrenada de llum, de color, d’imatges de proporcions gegantines, de sons, comunicacions, espectacles, relacions professionals, negoci i dades. Sobretot, dades. Desmesurades com a poc.

La qüestió

És molt simple. Hem de respondre a la pregunta següent: a canvi de què estem disposats a cedir, i en quina part, la sobirania de les nostres dades, la nostra sobirania digital.  

La nostra imatge en milers de fotografies, centenars de càmeres de vigilància o, fins i tot, en selfies fets en l’estand de Samsung. Les nostres dades, fins i tot biomètriques, escampades per centenars d’empreses que les faran servir, legítimament, per múltiples propòsits. Tot impulsat per les últimes tecnologies: Big Data, Intel·ligència Artificial, Machine learning, … de les quals encara no tenim una idea clara del seu abast. Fa feredat!

Política de Privacitat del MWC: que aixequi la mà qui l’hagi llegit.

Sí, s’han de llegir, com tot. I, com tot, no és llegeixen. Vagi per endavant que la Política de Privacitat compleix amb tots els requisits que imposa el RGPD. I sorteja força bé totes les dificultats que es presenten per regular l’ús de tantes dades i de naturalesa tant variada. Podríem posar-les, fins i tot, com a model per altres organitzacions.

Això no treu que si parem en algunes de les clàusules, aquestes resulten esglaiadores. Per exemple, la quantitat de dades que proporcionem voluntàriament (incloses les biomètriques del reconeixement facial), les informacions que es recullen automàticament i les que proporcionen terceres parts (a qui hem proporcionat voluntàriament la informació).

Passem després a veure amb qui comparteixen la informació i veiem que ho fan amb empreses afiliades, agents, venedors o proveïdors de serveis, compradors potencials i per imperatiu legal. I a més, amb qualsevol altre persona quan haguem consentit la divulgació.

I pel que fa la transferència internacional de dades (fora de l’Àrea Econòmica Europea, Suïssa i UK), les nostres dades biomètriques estan gestionades per una empresa amb base a Hong-Kong. I si es transfereixen a altres països no adequats, es fa amb el suport de Clàusules Contractuals Tipus aprovades per la Comissió Europea.

En fi, moltes parts mòbils (no és un acudit) en l’esquema. Moltes dades, de moltes persones i que gestionen moltes empreses en una varietat de circumstàncies. Definitivament, molt complex.

Val a dir, també, que ens ofereixen moltes maneres de controlar la nostra informació. Repeteixo, tot conforme a llei. I aquesta Política de Privacitat pot servir de model per altres texts de privacitat.

Què podem fer?

Doncs preocupar-nos nosaltres mateixos per la nostra privacitat. Està bé que les empreses se’n preocupin, és la seva obligació, però nosaltres no podem defugir de la nostra. La privacitat, ben entesa, comença per un mateix (com deia un vell anunci). I la nostra privacitat ha de ser activa, militant, disposats a defensar-la en qualsevol circumstància. No podem tenir cap expectativa de privacitat si nosaltres no som molt respectuosos amb ella. No pot ser d’altre manera.

I per passar a l’acció, el primer que necessitem és saber què sap Internet de nosaltres. Això ho podem fer gràcies al nostre Servei d’Empremta Digital recolzats per el nostre partner Youforget.me. A partir d’aquí, us ajudarem a reprendre allò que mai havíem d’haver perdut: la sobirania de les nostres dades.

De petit, els meus pares sempre m’advertien que no acceptés mai caramels de desconeguts. I ara, de gran, no faig una altre cosa tot el dia. Cuideu la vostra privacitat!

Temps regirats per a Google i per a tothom

per

Setmana intensa per Google i Microsoft, el que vol dir setmana intensa per quasi bé tothom. D’una banda, Micrososoft presentava la nova versió de Bing (el seu buscador) amb ChatGPT que promet ser una revolució important. D’altre, Google, en una reunió apressada, intentava contraprogramar l’anunci de Microsoft amb tant poc èxit que les seves accions van caure fins un 10%.

Però, què passa exactament?

Passa que la integració de ChapGPT amb Bing suposa una greu amenaça per Google per que ataca directament a la seva funcionalitat core: les cerques.

I què es ChatGPT?

La tecnologia avança cada dia de forma desaforada però, ara mateix, hi ha dos eines que seran absolutament disruptives: la Intel·ligència Artificial (AI, per les seves sigles en anglès) i el Metavers (del que en parlarem un altre dia).

En el camp de l’AI, el producte del moment és ChatGPT. Es tracta d’un intel·ligència artificial entrenada per mantenir conversacions. De forma que només cal fer-li preguntes en llenguatge natural i et proporciona les respostes. I les respostes que proporciona són encertades i completes. A més, les expressions són molt naturals i la informació prou precisa.

Fins i tot, aquesta AI té sentit del context i recorda tota la conversa mantinguda, de manera que si li fas una pregunta relacionada amb l’explicació donada, ho entendrà sense tenir que tornar a començar.

Alguns exemples de les possibilitats de ChatGPT

Servei al client automatitzat, generació d’informes, anàlisis de sentiment, gestió del coneixement, traducció automàtica, generar cançons o poemes, imitar la forma d’escriure d’una altre persona, acudits, llistes de pàgines web, trivials, crear plantilles, crear exàmens, anàlisis de productes, comparador, fórmules d’Excel, consells de salut, suggeriment de jocs, llibres, pel·licules o series, … Ara mateix i de veritat, el límit és la imaginació.

I per què tant d’enrenou amb Google?

Perquè Microsoft l’ha incorporat en el seu buscador Bing. I això posa en una disjuntiva molt complicada a Google. Si no ho incorpora en el seu buscador, pot ser que milions d’usuaris es passin a Bing (que fins ara tenia una quota ridícula) perquè prefereixin les respostes acabades de ChatGPT (per exemple, per entregar un treball a l’escola fet en uns minuts) que no buscar a Google i rebre una resposta de milions de pàgines trobades que suposa tenir que esbrinar quines són les interessants per, després, extraure la informació i resumir-la.

I si Google incorpora Bard, el seu chat de AI, també suposa un problema. Si els seus usuaris ho fan servir en comptes de fer la cerca, què passarà amb els anunciants i el SEO? Es posa en perill tota una indústria que representa una fabulosa facturació anual.

Conclusió

ChatGPT pot haver començat a cavar la tomba de Google. I, darrera de Google, hi anirem tots (no a la tomba, és clar, però venen temps interessants). Dona igual que siguis advocat, escriptor, dissenyador, professors, venedors, estudiants, cantant, compositor i una llarga llista de professions i activitats humanes que haurem de reinterpretar.

I, ara, afegiu-li el Metavers a l’equació i tindrem un panorama absolutament disruptiu amb conseqüències difícils de preveure.

Com sempre, cuideu-vos (també en el Metavers del que en parlarem un altre dia)!

A més de l’affaire Shakira-Piqué, al món passen més coses

per

Per exemple, demà celebrem el Dia Europeu de la Protecció de Dades. El 2022 ha estat de gran activitat legislativa que afectarà a les empreses en aquesta matèria ja en aquest 2023. En recordarem les principals i apuntarem alguns detalls.

En ple tsunami de la intel·ligència artificial –amb ChaptGPT com a màxim exponent– he tingut la temptació d’escriure aquest post fent servir aquesta eina que ara està de moda. No ho he fet, naturalment, per moltes raons. Digueu-n’hi  ètica, dignitat o vergonya professional. Però l’important es entendre que aquesta tecnologia, com altres, tindrà un impacte enorme en la nostra societat. I que la Protecció de Dades pren un paper molt destacat en defensa de la nostra privacitat. I, com es diu habitualment, és cosa de tots.

Podem posar alguns exemples. Microsoft treu al mercat VALL-E, una IA com ChatGPT que imita la teva veu escoltant-te tant sols durant 3 segons. Imita la veu, la cadència, fins i tot, l’ambient. I per fer-ho fàcil (i per intentar augmentar quota), Microsoft vol integrar aquestes eines en el seu cercador Bing. I, és clar, això ha posat dels nervis a Google.

Sigui com sigui, està clar que les tecnologies avancen de forma exponencial i, cada dia més, tenen un fort impacte en la nostra privacitat. Per això tots, –administracions, legisladors, operadors jurídics, empreses i, per descomptat, els usuaris– hem de fer un esforç permanent perquè aquest nivell de protecció aconseguit amb el RGPD no tan sols es mantingui, si no que vagi a més.

Avenços normatius

Aquest 2022, el legislador ens ha ajudat aprovant una sèrie de mesures, totes encaminades a aconseguir, al menys intentar-ho, anar a la par amb les tecnologies. Recordem les següents:

  • Llei Europea d’Intel·ligència Artificial (aplicable a tots els usos que afectin a ciutadans de la UE).
  • Llei de Mercats Digitals i la Llei de Serveis Digitals (la primera, per vigilar a les grans plataformes digitals (“gatekeepers”) i la segona, per crear un entorn online més segur i responsable).
  • Nou acord de protecció de dades entre Europa i EEUU (per substituir el Privacy Shield).
  • Directiva NIS 2 (mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la UE).
  • Proposta de Reglament de Ciberseguretat en productes amb elements digitals (per establir requisits de ciberseguretat en tota la UE per una amplia gama de productes de software, hardware, navegadors, sistemes operatius i una llarga llista de solucions de processament de dades en remot).

Totes les iniciatives són molt interessants i van encaminades a la protecció dels usuaris online. En propers posts entrarem en més detall en cadascuna de les normatives.

Recomanacions

Com dèiem al principi, la protecció de dades és cosa de tots. Nostra, també. Per tant, demà 28 de gener, és un bon moment per revisar totes les nostres rutines de protecció i seguretat. I, si necessitem ajuda, INCIBE.

Com sempre, cuideu-vos i cuidem les nostres dades!

Protecció de dades: hi ha que filar prim sempre!

per

En totes les àrees del dret hem de ser extremadament rigorosos com correspon però sembla que la protecció de dades sigui la solterona (o solteró) de l’ordenament jurídic. Així, és una branca del dret, en el marc de la privacitat, a la qual se’l convida amb desgana, es tolera perquè no hi ha més remei i s’obeeix cada dia més, sobretot, per les sancions.

Què ha passat aquesta vegada?

Doncs que l’Agència Espanyola de Protecció de Dades ha imposat una multa a una empresa de missatgeria per lliurar una comanda a un veí del destinatari, sense la preceptiva autorització. Tant simple com això amb un resultat dolorós.

Els fets

Des de sempre s’han lliurat paquets a domicili. L’empresa estatal de Correos, sense anar més lluny, ho ve fent des de el mateix dia que es va crear. Però, es clar, amb el començament de la pandèmia l’activitat es va disparar de maner exponencial.

Una persona compra per internet un producte a Media Markt que es lliurat per l’empresa de missatgeria UPS. El repartidor, al no trobar el destinatari en el seu domicili, decideix lliurar-lo a un veí, sense tenir autorització.

L’afectat reclama primerament a Media Markt però l’AEPD considera que és UPS el responsable de garantir les dades del client.

Què diu l’Agència?

L’Agència considera en la seva resolució que la conducta del repartidor ha vulnerat l’article 5.1.f) i l’article 32 del Reglament General de Protecció de Dades (RGPD) “al violar el principi de integritat i confidencialitat, així com no adoptar les mesures de seguretat necessàries per garantir la protecció de les dades de caràcter personal dels seus clients”.

El resultat

Doncs l’Agència ha imposat a UPS una multa de 50.000€ per la primera infracció y de 20.000€, per la segona. Es a dir, considera l’AEPD que l’empresa denunciada ha cedit les dades del reclamant a un tercer, sense el seu consentiment.

Ara ve Nadal …

Doncs sí, ara venen les festes de Nadal, període en el que el repartiment de paqueteria arriba als seus màxims de l’any. I a això cal afegir-hi les presses, les comandes d’última hora i el festival de les devolucions. I tenir en compte que, moltes vegades per bona fe o amb ganes d’ajudar, podem estar comprometent dades personals. I si el que deixen a casa del veí és un pernil, doncs encara. Però si el que deixen és l’últim model de “satisfyer” en un embolcall poc discret, potser, a més, ens enfadarem.

Com sempre, aneu en compte amb els paquets i cuideu-vos!

I ara arriba el (maleït) currículum!

per

Un cop més, una empresa, concretament un despatx d’advocats, ha estat sancionada per incomplir el RGPD en el tractament del currículum d’un candidat. El resultat? una sanció de 10.000 €. No és la primera, no serà l’última.

Ja hem parlat altres vegades del tema currículum. Tant empreses com candidats parteixen de premisses equivocades, obsoletes o directament falses. Els candidats, enviant currículums a tort i a dret, sense reparar que estan exposant les seves dades sense control; les empreses, en més casos dels desitjables, tractant els currículums sense la cura necessària per falta de coneixements, protocols i sovint, d’empatia vers el candidat.

Si hi ha un moment a la vida en què exposem nombroses dades personals, aquest és quan lliurem el currículum a una empresa amb la finalitat que ens contractin. Com  candidats hem d’exigir que les nostres dades es tractin degudament (per la qual cosa ajudaria conèixer mínimament la normativa). I com empresa, faltaria més, hem de complir escrupolosament amb el RGPD perquè és llei i perquè és el tracte correcte amb les persones.

Dues parts que haurien d’estar en equilibri. El candidat vol, òbviament, que el contractin i aconseguir un lloc de treball d’acord amb els seus mèrits i l’empresa vol contractar talent que li aporti valor.
Fem, per tant, que, independentment del resultat, l’experiència resulti satisfactòria per tothom.

Els fets

El reclamant va enviar el currículum en resposta a una oferta de treball i va ser convocada per una entrevista, sense informa-la en cap moment del nom de l’empresa ni cap dada identificativa.

Al arribar a la sala de l’entrevista, l’entrevistador va entrar amb el currículum de la candidata imprès. No se li va advertir del tractament que es pensava donar a les dades personals, ni del tractament que ja s’havia fet. No es va oferir cap tipus d’informació en compliment del RGPD.

L’única manera de saber qui la va entrevistar va ser gràcies a unes enganxines que hi havia dins l’oficina. A més, a la web corporativa tampoc consta cap informació relativa al RGPD.

Les consideracions de l’AEPD

Doncs segons l’AEPD, el despatx va obtenir dades personals dels usuaris de la pàgina web sense consentiment previ, en un formulari on introduir nom, correu i assumpte i pitjant l’opció “Enviar” per enviar-lo, sense més requisits.

Pel que fa a la Política de Privacitat, ens trobem que es proporciona una informació totalment insuficient, mancant, per exemple, la identitat i dades de contacte del responsable; les dades de contacte del delegat de protecció de dades, en el seu cas; els destinataris de les dades personals i de la informació necessària per exercir els drets que assisteixen als usuaris i com i on exercir-los.

Què hem de fer?

La llista d’incompliments del despatx dona per escriure un llibre, sense comptar que la conducta és la d’un despatx d’avocats que, per la seva naturalesa, hauria de posar-hi més cura en el tractament de les dades personals.

La nostra recomanació és que l’empresa disposi, al menys, d’un Protocol de tractament del CV (des de la publicació de l’oferta fins a la desestimació del candidat) i un conjunt de documents bàsics que permetin recollir el consentiment per el tractament i per l’entrevista de treball y circulars informatives del tractament (i del no tractament). I recordar que si la selecció es fa a través d’un portal d’ocupació o una agència de col·locació serà necessari tenir firmat el preceptiu contracte d’encarregat de tractament.

Tot això, en el benentès que l’empresa està degudament adequada a la normativa de Protecció de Dades. Si no, estarem incomplint i no servirà de res.

Com sempre, cuideu els currículums i cuideu-vos!

Ay, la (maleïda) còpia oculta!

per

Ho hem de reconèixer. A tots ens ha passat, per anar amb presses i no fixar-nos o simplement perquè en el moment suprem d’enviar el correu una distracció –truquen al mòbil o algú ens interromp – fa que enviem els correus a un conjunt de destinataris sense posar-los en còpia oculta (CCO). I un cop premuda la tecla d’Enviar, surt, inevitablement del més profund de la nostra gola, un “Ay!” que es fa sentir per tota l’estància. Però, ja és tard. Irremeiablement tard.

Doncs això és el que li va passar a una immobiliària aquí, a casa nostra. I, com no pot ser d’altre manera, amb conseqüències no desitjades (veure resolució AEPD). Per l’empresa i, el que és pitjor, per els destinataris que van veure exposades les seves dades personals. Anem a explicar-ho.

Els fets

Una empresa immobiliària remet un correu electrònic, a una pluralitat de destinataris, sense utilitzar la modalitat de còpia oculta, la qual cosa permet que tercers tinguin coneixement de la direcció de correu electrònic del reclamant. Fàcil d’entendre? Doncs sí. No es poden desvetllar dades personals, ni tant sols el correu, perquè vulnera l’article 5.1.f) del RGPD. I el 32 també, com ara veurem.

Les consideracions de l’AEPD

L’Agència considera que l’entitat reclamada, amb la seva actuació, ha cedit les dades a tercers sense causa que ho legitimi i, per tant, ha realitzat un tractament de les dades personals, la custòdia del qual té encomanada, contrari a dret. L’empresa ha violat el principi de integritat i confidencialitat (article 5.1.f) RGPD), així com no haver adoptat les mesures de seguretat necessàries per garantir la protecció de dades de caràcter personal dels seus clients (article 32 RGPD), al no fer servir la modalitat de còpia oculta del correu electrònic.

Multa per dos conceptes

La primer multa, per la infracció de l’article 5.1.f) RGPD, es quantifica (després de la graduació de la sanció) en 6.000€.
La segona, per infracció de l’article 32 RGPD, és de 3.000€.
Fan un total de 9.000€.

No està gens malament una multa de 9.000€ per una acció que es podria haver evitat només enganxant el llistat en el camp CCO del editor de correu. A més, l’empresa, de forma inusitada, no va contestar al requeriment de l’AEPD ni va presentar cap al·legació (de les comunicacions amb l’AEPD en parlarem un altre dia).

Apunts

Però més enllà del fet puntual, dolorós però assumible, està el bé jurídic que es vol protegir que no es altre que la privacitat de les dades personals. I aquí sí hem de parar atenció. Es tracta de fer un tractament escrupolós de les dades personals que ens encomanen. Aplicar els principis del RGPD com la transparència, la minimització, la integritat, la confidencialitat i la resta, i, sobretot, el de la lleialtat amb l’interessat.

Com sempre, cuideu-vos!

Google Chrome? No tan incògnit …

per

Google Chrome és, amb diferència, el cercador més utilitzat per els usuaris que naveguen per Internet. Molt per davant d’Edge, Safari i els altres. A més, el servei el proporciona una gran companyia -gran en tots els sentits- que fa que tinguem la percepció de que és un bon producte, mereixedor de tota la nostra confiança. Doncs bé, això no hauria de ser ben bé així, per la nostra seguretat i privacitat.

Chrome, com altres navegadors, disposa d’un mètode de navegació que denomina “incògnit”.  La RAE, en la segona accepció, defineix incògnit com “situació d’un personatge públic que actua com persona privada”.  Es a dir, persona que vol passar per desconeguda en el seu viatge virtual, en aquest cas, a la xarxa. I, sobretot, sentir-se segur i protegit.

Què es el mode incògnit?

En aquest mode, el navegador elimina les dades locals de la sessió de navegació a Internet. Vol dir que es bloquegen les cookies, no es registre l’historial de navegació i qualsevol altre rastrejador, arxiu temporal o barra d’eines de tercer es desactivarà. I això deixa moltes dades a les que el mode incògnit no afecta per res.

És tan “incògnit”?

Doncs no o al menys no ho és prou. Si inicies sessió en un lloc web, aquest t’identificarà i podrà seguir les teves activitats. No evitarà que els llocs que visites, el teu centre educatiu, la teva empresa o el teu proveïdor de servei de Internet puguin veure la teva activitat i ubicació. I tampoc evitarà que els llocs web que visites publiquin anuncis basats en la teva activitat durant una sessió d’incògnit.

El missatge que destapa l’assumpte

Com sempre, el diable està en els detalls. La cap de màrqueting de Goggle, Lorraine Twohill, va enviar un correu a Sundar Pichai (CEO de Google) advertint-li que els clients estaven confosos respecte el funcionament del mode incògnit i. “Fes que el mode incògnit sigui realment privat” va escriure. Twohill ho va enviar després de que varis usuaris presentessin una demanda col·lectiva multimilionària per suposa seguiment dels usuaris mentre feien servir aquest mode.

Fins i tot els empleats van avisar

La cosa ve de lluny. Ja el 2018, un empleat va compartir un informe que demostrava que els usuaris no entenen realment com funciona i no saben que no protegeix la seva privacitat com ells es penses.  Per aquest empleat, “cal deixar de anomenar-lo incògnit i de fer servir un icona amb un espia” perquè porta a equivoc sobre les seves característiques.  

Recopila les nostres dades per mostrar publicitat

Google no se’n amaga i ho explica en un enllaç però ningú ho llegeix. Us resulta familiar no llegir las informacions addicionals o el termes i condicions d’ús de les apps? Doncs això. Aquest enllaç de “Més informació” està ben visible a la pàgina inicial i explica què no fa el mode d’incògnit.

En resum

Al final, “business is business” i si fos realment d’incògnit, Google no faria negoci amb les nostres dades que ven als anunciants. Per part nostra, el podem fer servir, com diu Google, per qüestions innocents com comprar un regal per un familiar que comparteix ordinador o per si salta el banner de cookies, com fem els professionals de la privacitat. For d’això, més val que feu servir DuckDuckGo per tenir una mica més de privacitat. I queda pendent per un altre dia parlar de Tor.

Com sempre, cuideu-vos!

Vols assetjar a algú amb un perfil fals? No és bona idea. 

per

La setmana passada parlàvem de la utilització de les xarxes per cobrar un deute de forma poc ortodoxa, per dir-ho suaument. Ara volem parlar d’una pràctica més que habitual i molts més execrable com és la d’obrir perfils falsos a la xarxes socials, pàgines de contacte o simplement d’anuncis, provocant un assetjament o directament una humiliació vers un altre persona.

Veiem alguns avenços en la lluita contra la violència digital en la nova Llei.

La novetat

Aquesta conducta tindrà, a partir del proper 7 d’octubre, resposta penal. En efecte, el dia 7 entrarà en vigor la nova Llei Orgànica 10/2022, de 6 de setembre, de Garantia Integral de la Llibertat Sexual: és la coneguda popularment com “llei del només sí és sí”.

En la nova redacció s’ha modificat l’article 172 del   Codi Penal vigent per, com diu el preàmbul de la Llei,  ”donar resposta especialment a les violències sexuals comeses en l’ àmbit digital”. I explica que aquestes violències comprenen, entre d’altres, la difusió d’actes de violència sexual a través de mitjans tecnològics, la pornografia no consentida i l’extorsió sexual.

Per primera vegada, els perfils falsos en xarxes social per assetjar entren en el Codi Penal espanyol.

La conducta

Exemples d’aquesta conducta serien la creació d’un perfil fals en una web de cites (o d’escorts) amb ànim d’humiliar-la. O pujar a una xarxa social, amb un compte fake, imatges humiliants retocades amb l’ànim d’assetjar-la.

La conducta que es penalitza no es tant crear un perfil per obtenir un benefici o perjudici genèric, sinó de la creació d’un perfil fals per assetjar, fustigar o humiliar a un altre.

Les penes

La Llei considera com delicte d’assetjament la utilització sense permís de la imatge d’una altra persona per a “realitzar anuncis o obrir perfils falsos en xarxes socials, pàgines de contacte o qualsevol mitjà de difusió pública, ocasionant-li a la mateixa situació d’assetjament, fustigació o humiliació“. Aquests fets es castigaran també amb penes de presó tres mesos a un any o multes de sis a dotze mesos.

L’assetjament a l’empresa

La Llei ha modificat també altres articles d’interès que fan referència als actes hostils o humiliants que suposin greu assetjament a la víctima en l’àmbit de l’empresa, la sol·licitud de favors sexuals en l’àmbit d’una relació laboral sempre que provoquin una situació greument intimidatòria, hostil o humiliant o la difusió, revelació o cessió a tercers d’imatges o gravacions sense autorització de la víctima, el que es coneix com sexting.

 

L’assetjament no ha estat mai una bona idea, sempre ha estat un delicte i, ara, la Llei ha fet un esforç per tal de perseguir aquestes conductes detestables. I hem de ser conscients que l’assetjament, com totes les conductes delictives o simplement reprovables, és cosa de tots, no tan sols dels afectats. Tots podem ajudar en la nostra mesura. No mirar cap un altre cantó i implicar-nos ja és un pas endavant.

Com sempre, cuideu-vos!

No tot val per perseguir un morós!

per

Avui en dia és força habitual que les empreses pugin fotografies a l’Insta (com es diu ara), generalment per promocionar els seus productes i guanyar reputació. Però, de vegades, les intencions són unes altres i el resultat no pot ser més desastrós. Com diu el títol, no tot val per perseguir un morós ni per moltes altres coses a la vida.

El cas

Una dona interposa una reclamació davant l’AEPD basant-se en que la  botiga de vestits de núvia on havia comprat el seu, ha publicat a Instagram una foto en la qual figura vestida amb el seu vestit de núvia, amb l’objectiu de cobrar-lo.

Segons diu la botiga, en cap moment s’identifica els reclamants, ja que, les fotografies mostraven les figures de dues persones, home i dona, amb la cara totalment tapada amb un cercle negre que no permetia la identificació i que, per tant, no hi havia tractament de les dades personals de la parella. La firma assenyala que es va alterar deliberadament la fotografia per ocultar la identitat, per la qual cosa difícilment es podria considerar un tractament il·lícit de dades. I al·lega també que la imatge es va difondre a Instagram menys d’una hora perquè la clienta va pagar immediatament.

Per la seva banda, l’Agència entén que la manca de pagament no legitima fer servir imatges si no es compte amb el consentiment exprés de l’afectada. I que poc temps que la fotografia va estar exposada no és atenuant, abans el contrari, perquè va ser conseqüència del pagament coaccionat de la clienta. S’ha incorregut, per tant, en un tractament il·lícit de dades personals.

La sanció

L’Agència entén que la conducta suposa una infracció de l’article 6 del RGPD (licitud del tractament) ja que les dades personals van ser tractats sense comptar amb cap tipus de legitimació. D’acord amb els criteris sancionadors, s’estima adequat imposar a la botiga una sanció de 10.000€ per la infracció referida, per falta de consentiment de l’afectada.

Reflexions

Com diu el títol, tot no val. Per publicar una imatge en xarxes socials, i en qualsevol altre situació, és imprescindible comptar amb el consentiment exprés si no tenim un altre base legitimadora. En aquest cas, no es va sol·licitar el consentiment de l’afectada perquè es buscava pressionar-la perquè pagués. I ja es pot entendre que no hagués donat mai el consentiment perquè la pressionessin.

Amb caràcter general també podem dir que el nostre ordenament jurídic ens ofereix un ampli ventall de mecanismes per, com en aquest cas, recuperar un deute d’una manera endreçada. No cal acudir a dreceres ens que portin a una sanció (o conseqüències pitjors).

Com sempre, cuideu-vos!

Què sap Internet de tu?

per

L’ús que fem d’Internet, des de les nostres preferències de navegació fins als continguts que compartim en xarxes socials, creen un rastre denominat empremta digital
La teva empremta digital també la conformen els continguts que comparteixen terceres persones sobre tu, amb consentiment o sense el, i que t’identifican a internet.

Què és una Empremta Digital?

Sempre que fem servir Internet, deixem un rastre d’informació personal que es coneix com empremta digital. L’empremta s’alimenta de quasi totes les activitats que fem a la xarxa. Per exemple, quan visitem un lloc web, fem una publicació en una xarxa social, ens subscrivim a una newsletter, fem una compra o deixem una opinió en un comerç estem fent créixer la nostra empremta digital.

Aquestes activitats, conegudes per tots, es coneixen com empremtes digitals actives perquè l’usuari comparteix voluntàriament la informació personal de forma conscient. Si completem un formulari de registre i donem el nostre consentiment perquè tractin les nostres dades, estarem contribuint a la nostra empremta digital activa.

Però, què passa amb la nostra empremta digital passiva?. Aquesta es crea quan es recull informació de l’usuari sense que aquest se n’adoni. El primer exemple el trobem quan els llocs webs recopilen la nostra IP o ens instal·len cookies en el nostre navegador per rastrejar la nostra activitat i poder enviar-nos, per posar un cas, publicitat segmentada.  O quan donem un “like” o compartim un contingut en un xarxa social que els permetrà crear un perfil sobre tu.

La identitat digital

Tota aquesta empremta digital que generem es converteix en el que es denomina “identitat digital” a la xarxa. Això inclou des d’empremtes desitjades com pot ser un perfil de Linkedin o aparèixer a la pàgina web de l’empresa fins aquelles referències nostres que poden afectar a la nostra reputació i que potser no en som ni conscients.

I la identitat digital va lligada a la “reputació digital” (el que també es coneix com “marca personal”, anàloga a la reputació en el món analògic que tant bé coneixem i sovint patim. Si el que Internet sap de nosaltres és negatiu, lo primer que patirà serà la nostra reputació. I això pot ser degut, habitualment, a la nostra empremta digital passiva de la que siquiera ens som conscients. A la xarxa hi pot haver una ressenya negativa o una fotografia que ens agafa en un mals pas i que nosaltres no sabem de la seva existència.

És important l’empremta digital?

El tema reputacional, en sí mateix, ja és prou important. Imaginem que volem que ens admetin en una escola, universitat o en determinada empresa. O, simplement, volem contraure matrimoni. O som una persona famosa o volem fer carrera, diguem-ne, política o similar. O hem estat víctima d’un assetjament i han publicat un vídeo de contingut sexual (cas que es va donar a principi d’estiu amb un conegut actor). Els exemples són molt nombrosos.

Però l’exposició a la xarxa pot suposar altres perills. Atacs de phishing aprofitant la informació nostra que circula a Internet, que es difongui contingut compromès destinat a un cercle privat, assetjaments de tot tipus aprofitant el que saben de nosaltres (tema delicat especialment per determinats col·lectius: menors, víctimes de violència sexual, etc.), xantatges en l’àmbit empresarial són només alguns exemples.

Tinguem sempre present que quan publiques una informació a Internet és com si la tatuessis: costa molt esborrar-la. I un cop publicada perdem el control sobre l’ús que en faran els demés de la informació.

Protegir la teva empremta digital

Aquest tema serà objecte d’un proper post però, en síntesi, es tracta de reduir la nostra exposició a la xarxa. Reduir les fonts d’informació que et mencionen, limitar la quantitat d’informació que comparteixes, ser curós amb les xarxes socials, revisar la nostra configuració de privacitat, evitar llocs web insegurs, no fer servir Wifis públiques, tenir una política de contrasenyes, revisar els dispositius mòbils o fer servir una VPN (Xarxa Privada Virtual) poden ser algunes recomanacions a seguir.

 

Com sempre, cuideu la vostra reputació digital i cuideu-vos vosaltres mateixos!

No et quedis enrere!

Converteix la IA en la teva avantatge de Recursos Humans

Accedeix a continguts exclusius sobre Dret Digital Laboral i Intel·ligència Artificial a RRHH: alertes crítiques, guies pràctiques, checklists i més, que la teva empresa necessita avui per protegir-se i créixer.

Revisió Texts legals web