Ay, la (maleïda) còpia oculta!

Ho hem de reconèixer. A tots ens ha passat, per anar amb presses i no fixar-nos o simplement perquè en el moment suprem d’enviar el correu una distracció –truquen al mòbil o algú ens interromp – fa que enviem els correus a un conjunt de destinataris sense posar-los en còpia oculta (CCO). I un cop premuda la tecla d’Enviar, surt, inevitablement del més profund de la nostra gola, un “Ay!” que es fa sentir per tota l’estància. Però, ja és tard. Irremeiablement tard.

Doncs això és el que li va passar a una immobiliària aquí, a casa nostra. I, com no pot ser d’altre manera, amb conseqüències no desitjades (veure resolució AEPD). Per l’empresa i, el que és pitjor, per els destinataris que van veure exposades les seves dades personals. Anem a explicar-ho.

Els fets

Una empresa immobiliària remet un correu electrònic, a una pluralitat de destinataris, sense utilitzar la modalitat de còpia oculta, la qual cosa permet que tercers tinguin coneixement de la direcció de correu electrònic del reclamant. Fàcil d’entendre? Doncs sí. No es poden desvetllar dades personals, ni tant sols el correu, perquè vulnera l’article 5.1.f) del RGPD. I el 32 també, com ara veurem.

Les consideracions de l’AEPD

L’Agència considera que l’entitat reclamada, amb la seva actuació, ha cedit les dades a tercers sense causa que ho legitimi i, per tant, ha realitzat un tractament de les dades personals, la custòdia del qual té encomanada, contrari a dret. L’empresa ha violat el principi de integritat i confidencialitat (article 5.1.f) RGPD), així com no haver adoptat les mesures de seguretat necessàries per garantir la protecció de dades de caràcter personal dels seus clients (article 32 RGPD), al no fer servir la modalitat de còpia oculta del correu electrònic.

Multa per dos conceptes

La primer multa, per la infracció de l’article 5.1.f) RGPD, es quantifica (després de la graduació de la sanció) en 6.000€.
La segona, per infracció de l’article 32 RGPD, és de 3.000€.
Fan un total de 9.000€.

No està gens malament una multa de 9.000€ per una acció que es podria haver evitat només enganxant el llistat en el camp CCO del editor de correu. A més, l’empresa, de forma inusitada, no va contestar al requeriment de l’AEPD ni va presentar cap al·legació (de les comunicacions amb l’AEPD en parlarem un altre dia).

Apunts

Però més enllà del fet puntual, dolorós però assumible, està el bé jurídic que es vol protegir que no es altre que la privacitat de les dades personals. I aquí sí hem de parar atenció. Es tracta de fer un tractament escrupolós de les dades personals que ens encomanen. Aplicar els principis del RGPD com la transparència, la minimització, la integritat, la confidencialitat i la resta, i, sobretot, el de la lleialtat amb l’interessat.

Com sempre, cuideu-vos!

Google Chrome? No tan incògnit …

Google Chrome és, amb diferència, el cercador més utilitzat per els usuaris que naveguen per Internet. Molt per davant d’Edge, Safari i els altres. A més, el servei el proporciona una gran companyia -gran en tots els sentits- que fa que tinguem la percepció de que és un bon producte, mereixedor de tota la nostra confiança. Doncs bé, això no hauria de ser ben bé així, per la nostra seguretat i privacitat.

Chrome, com altres navegadors, disposa d’un mètode de navegació que denomina “incògnit”.  La RAE, en la segona accepció, defineix incògnit com “situació d’un personatge públic que actua com persona privada”.  Es a dir, persona que vol passar per desconeguda en el seu viatge virtual, en aquest cas, a la xarxa. I, sobretot, sentir-se segur i protegit.

Què es el mode incògnit?

En aquest mode, el navegador elimina les dades locals de la sessió de navegació a Internet. Vol dir que es bloquegen les cookies, no es registre l’historial de navegació i qualsevol altre rastrejador, arxiu temporal o barra d’eines de tercer es desactivarà. I això deixa moltes dades a les que el mode incògnit no afecta per res.

És tan “incògnit”?

Doncs no o al menys no ho és prou. Si inicies sessió en un lloc web, aquest t’identificarà i podrà seguir les teves activitats. No evitarà que els llocs que visites, el teu centre educatiu, la teva empresa o el teu proveïdor de servei de Internet puguin veure la teva activitat i ubicació. I tampoc evitarà que els llocs web que visites publiquin anuncis basats en la teva activitat durant una sessió d’incògnit.

El missatge que destapa l’assumpte

Com sempre, el diable està en els detalls. La cap de màrqueting de Goggle, Lorraine Twohill, va enviar un correu a Sundar Pichai (CEO de Google) advertint-li que els clients estaven confosos respecte el funcionament del mode incògnit i. “Fes que el mode incògnit sigui realment privat” va escriure. Twohill ho va enviar després de que varis usuaris presentessin una demanda col·lectiva multimilionària per suposa seguiment dels usuaris mentre feien servir aquest mode.

Fins i tot els empleats van avisar

La cosa ve de lluny. Ja el 2018, un empleat va compartir un informe que demostrava que els usuaris no entenen realment com funciona i no saben que no protegeix la seva privacitat com ells es penses.  Per aquest empleat, “cal deixar de anomenar-lo incògnit i de fer servir un icona amb un espia” perquè porta a equivoc sobre les seves característiques.  

Recopila les nostres dades per mostrar publicitat

Google no se’n amaga i ho explica en un enllaç però ningú ho llegeix. Us resulta familiar no llegir las informacions addicionals o el termes i condicions d’ús de les apps? Doncs això. Aquest enllaç de “Més informació” està ben visible a la pàgina inicial i explica què no fa el mode d’incògnit.

En resum

Al final, “business is business” i si fos realment d’incògnit, Google no faria negoci amb les nostres dades que ven als anunciants. Per part nostra, el podem fer servir, com diu Google, per qüestions innocents com comprar un regal per un familiar que comparteix ordinador o per si salta el banner de cookies, com fem els professionals de la privacitat. For d’això, més val que feu servir DuckDuckGo per tenir una mica més de privacitat. I queda pendent per un altre dia parlar de Tor.

Com sempre, cuideu-vos!

Vols assetjar a algú amb un perfil fals? No és bona idea. 

La setmana passada parlàvem de la utilització de les xarxes per cobrar un deute de forma poc ortodoxa, per dir-ho suaument. Ara volem parlar d’una pràctica més que habitual i molts més execrable com és la d’obrir perfils falsos a la xarxes socials, pàgines de contacte o simplement d’anuncis, provocant un assetjament o directament una humiliació vers un altre persona.

Veiem alguns avenços en la lluita contra la violència digital en la nova Llei.

La novetat

Aquesta conducta tindrà, a partir del proper 7 d’octubre, resposta penal. En efecte, el dia 7 entrarà en vigor la nova Llei Orgànica 10/2022, de 6 de setembre, de Garantia Integral de la Llibertat Sexual: és la coneguda popularment com “llei del només sí és sí”.

En la nova redacció s’ha modificat l’article 172 del   Codi Penal vigent per, com diu el preàmbul de la Llei,  ”donar resposta especialment a les violències sexuals comeses en l’ àmbit digital”. I explica que aquestes violències comprenen, entre d’altres, la difusió d’actes de violència sexual a través de mitjans tecnològics, la pornografia no consentida i l’extorsió sexual.

Per primera vegada, els perfils falsos en xarxes social per assetjar entren en el Codi Penal espanyol.

La conducta

Exemples d’aquesta conducta serien la creació d’un perfil fals en una web de cites (o d’escorts) amb ànim d’humiliar-la. O pujar a una xarxa social, amb un compte fake, imatges humiliants retocades amb l’ànim d’assetjar-la.

La conducta que es penalitza no es tant crear un perfil per obtenir un benefici o perjudici genèric, sinó de la creació d’un perfil fals per assetjar, fustigar o humiliar a un altre.

Les penes

La Llei considera com delicte d’assetjament la utilització sense permís de la imatge d’una altra persona per a “realitzar anuncis o obrir perfils falsos en xarxes socials, pàgines de contacte o qualsevol mitjà de difusió pública, ocasionant-li a la mateixa situació d’assetjament, fustigació o humiliació“. Aquests fets es castigaran també amb penes de presó tres mesos a un any o multes de sis a dotze mesos.

L’assetjament a l’empresa

La Llei ha modificat també altres articles d’interès que fan referència als actes hostils o humiliants que suposin greu assetjament a la víctima en l’àmbit de l’empresa, la sol·licitud de favors sexuals en l’àmbit d’una relació laboral sempre que provoquin una situació greument intimidatòria, hostil o humiliant o la difusió, revelació o cessió a tercers d’imatges o gravacions sense autorització de la víctima, el que es coneix com sexting.

 

L’assetjament no ha estat mai una bona idea, sempre ha estat un delicte i, ara, la Llei ha fet un esforç per tal de perseguir aquestes conductes detestables. I hem de ser conscients que l’assetjament, com totes les conductes delictives o simplement reprovables, és cosa de tots, no tan sols dels afectats. Tots podem ajudar en la nostra mesura. No mirar cap un altre cantó i implicar-nos ja és un pas endavant.

Com sempre, cuideu-vos!

No tot val per perseguir un morós!

Avui en dia és força habitual que les empreses pugin fotografies a l’Insta (com es diu ara), generalment per promocionar els seus productes i guanyar reputació. Però, de vegades, les intencions són unes altres i el resultat no pot ser més desastrós. Com diu el títol, no tot val per perseguir un morós ni per moltes altres coses a la vida.

El cas

Una dona interposa una reclamació davant l’AEPD basant-se en que la  botiga de vestits de núvia on havia comprat el seu, ha publicat a Instagram una foto en la qual figura vestida amb el seu vestit de núvia, amb l’objectiu de cobrar-lo.

Segons diu la botiga, en cap moment s’identifica els reclamants, ja que, les fotografies mostraven les figures de dues persones, home i dona, amb la cara totalment tapada amb un cercle negre que no permetia la identificació i que, per tant, no hi havia tractament de les dades personals de la parella. La firma assenyala que es va alterar deliberadament la fotografia per ocultar la identitat, per la qual cosa difícilment es podria considerar un tractament il·lícit de dades. I al·lega també que la imatge es va difondre a Instagram menys d’una hora perquè la clienta va pagar immediatament.

Per la seva banda, l’Agència entén que la manca de pagament no legitima fer servir imatges si no es compte amb el consentiment exprés de l’afectada. I que poc temps que la fotografia va estar exposada no és atenuant, abans el contrari, perquè va ser conseqüència del pagament coaccionat de la clienta. S’ha incorregut, per tant, en un tractament il·lícit de dades personals.

La sanció

L’Agència entén que la conducta suposa una infracció de l’article 6 del RGPD (licitud del tractament) ja que les dades personals van ser tractats sense comptar amb cap tipus de legitimació. D’acord amb els criteris sancionadors, s’estima adequat imposar a la botiga una sanció de 10.000€ per la infracció referida, per falta de consentiment de l’afectada.

Reflexions

Com diu el títol, tot no val. Per publicar una imatge en xarxes socials, i en qualsevol altre situació, és imprescindible comptar amb el consentiment exprés si no tenim un altre base legitimadora. En aquest cas, no es va sol·licitar el consentiment de l’afectada perquè es buscava pressionar-la perquè pagués. I ja es pot entendre que no hagués donat mai el consentiment perquè la pressionessin.

Amb caràcter general també podem dir que el nostre ordenament jurídic ens ofereix un ampli ventall de mecanismes per, com en aquest cas, recuperar un deute d’una manera endreçada. No cal acudir a dreceres ens que portin a una sanció (o conseqüències pitjors).

Com sempre, cuideu-vos!

Què sap Internet de tu?

L’ús que fem d’Internet, des de les nostres preferències de navegació fins als continguts que compartim en xarxes socials, creen un rastre denominat empremta digital
La teva empremta digital també la conformen els continguts que comparteixen terceres persones sobre tu, amb consentiment o sense el, i que t’identifican a internet.

Què és una Empremta Digital?

Sempre que fem servir Internet, deixem un rastre d’informació personal que es coneix com empremta digital. L’empremta s’alimenta de quasi totes les activitats que fem a la xarxa. Per exemple, quan visitem un lloc web, fem una publicació en una xarxa social, ens subscrivim a una newsletter, fem una compra o deixem una opinió en un comerç estem fent créixer la nostra empremta digital.

Aquestes activitats, conegudes per tots, es coneixen com empremtes digitals actives perquè l’usuari comparteix voluntàriament la informació personal de forma conscient. Si completem un formulari de registre i donem el nostre consentiment perquè tractin les nostres dades, estarem contribuint a la nostra empremta digital activa.

Però, què passa amb la nostra empremta digital passiva?. Aquesta es crea quan es recull informació de l’usuari sense que aquest se n’adoni. El primer exemple el trobem quan els llocs webs recopilen la nostra IP o ens instal·len cookies en el nostre navegador per rastrejar la nostra activitat i poder enviar-nos, per posar un cas, publicitat segmentada.  O quan donem un “like” o compartim un contingut en un xarxa social que els permetrà crear un perfil sobre tu.

La identitat digital

Tota aquesta empremta digital que generem es converteix en el que es denomina “identitat digital” a la xarxa. Això inclou des d’empremtes desitjades com pot ser un perfil de Linkedin o aparèixer a la pàgina web de l’empresa fins aquelles referències nostres que poden afectar a la nostra reputació i que potser no en som ni conscients.

I la identitat digital va lligada a la “reputació digital” (el que també es coneix com “marca personal”, anàloga a la reputació en el món analògic que tant bé coneixem i sovint patim. Si el que Internet sap de nosaltres és negatiu, lo primer que patirà serà la nostra reputació. I això pot ser degut, habitualment, a la nostra empremta digital passiva de la que siquiera ens som conscients. A la xarxa hi pot haver una ressenya negativa o una fotografia que ens agafa en un mals pas i que nosaltres no sabem de la seva existència.

És important l’empremta digital?

El tema reputacional, en sí mateix, ja és prou important. Imaginem que volem que ens admetin en una escola, universitat o en determinada empresa. O, simplement, volem contraure matrimoni. O som una persona famosa o volem fer carrera, diguem-ne, política o similar. O hem estat víctima d’un assetjament i han publicat un vídeo de contingut sexual (cas que es va donar a principi d’estiu amb un conegut actor). Els exemples són molt nombrosos.

Però l’exposició a la xarxa pot suposar altres perills. Atacs de phishing aprofitant la informació nostra que circula a Internet, que es difongui contingut compromès destinat a un cercle privat, assetjaments de tot tipus aprofitant el que saben de nosaltres (tema delicat especialment per determinats col·lectius: menors, víctimes de violència sexual, etc.), xantatges en l’àmbit empresarial són només alguns exemples.

Tinguem sempre present que quan publiques una informació a Internet és com si la tatuessis: costa molt esborrar-la. I un cop publicada perdem el control sobre l’ús que en faran els demés de la informació.

Protegir la teva empremta digital

Aquest tema serà objecte d’un proper post però, en síntesi, es tracta de reduir la nostra exposició a la xarxa. Reduir les fonts d’informació que et mencionen, limitar la quantitat d’informació que comparteixes, ser curós amb les xarxes socials, revisar la nostra configuració de privacitat, evitar llocs web insegurs, no fer servir Wifis públiques, tenir una política de contrasenyes, revisar els dispositius mòbils o fer servir una VPN (Xarxa Privada Virtual) poden ser algunes recomanacions a seguir.

 

Com sempre, cuideu la vostra reputació digital i cuideu-vos vosaltres mateixos!

Menors i empremta digital

El post d’avui està propiciat per el recent naixement del net d’uns bons amics. Ha sigut un nen que ha nascut amb tots els pronunciaments favorables. I, com és natural, el primer que han fet els pares ha estat fer fotografies i difondre-les entre família, amics i coneguts via Whastapp i altres xarxes socials.

I què menys, direu. Des de que existeix la fotografia que els orgullosos pares han volgut immortalitzar el naixement del fill i ensenyar-la a quanta més gent millor. I això està molt bé, faltaria més, però és que ara tenim una nova variable que hem de considerar: l’empremta digital.

Abans les fotografies s’ensenyaven en un àlbum de paper. Un cop vistes, l’àlbum és guardava en un prestatge i fins la propera. Ara, no. Les fotografies són digitals i es reprodueixen a la xarxa a tota velocitat. I queden, sobretot queden per sempre. I aquest rastre del nen o de la nena, tant bufons, queda des del naixement, fins i tot des d’abans si els pares comparteixen les ecografies, i l’acompanyarà tota la vida. I hi anirem afegint: les primeres passes, la primera dent, el primer “papà” o “mamà” (això en vídeo) i així fins tenir un recull de centenars d’imatges del nadó fins que sigui major d’edat i pugui decidir. En aquell moment la seva empremta digital serà molt extensa.

El problema

La primera obvietat és que quan es puja una imatge a Internet, es perd el control sobre ella.

A partir d’aquí poden passar moltes coses bones però també de no tant bones. En el primer cas, per exemple, que una empresa de publicitat ens ofereixi un contracte publicitari per explotar la imatge del nen. Però de l’altre banda, ens podem trobar des d’empreses que facin servir la imatge sense permís fins fer servir la foto per pornografia infantil en mans de pedòfils (grooming).

El Sharenting

Com no, Sharenting és un anglicisme que combina dos termes, share (compartir) i parenting (criança). I descriu l’activitat de documentar exhaustivament i compartir irreflexivament en el món digital el creixement dels nens. Això passa sobretot a Facebook, Instagram i WhatsApp. Si l’activitat és excessiva es denomina oversharenting.

És legal publicar fotos de menors?

A Espanya, la LOPD estableix la majoria d’edat per que el menor pugui gestionar la seva privacitat a Internet en els 14 anys. Això vol dir que si vol publicar una foto ho pot fer sense el consentiment dels pares. I els pares no poden publicar un foto si el menor no ho autoritza. Si publiquen sense consentiment s’exposen a una sanció.

Per sota dels 14 anys, els progenitors o els tutors legals continuen tenint tot el poder de decisió. Si el menor vol crear un perfil a una xarxa social, necessita autorització.

En el cas de parelles separades, no pots publicar fotos del menor sense consentiment de l’altre part.

Recomanacions

Més enllà de la prudència i el sentit comú, podríem apuntar alguns consells.

  • Abans de pujar una foto del menor, pensa-ho dos vegades. Tot els que es publica, queda.
  • I, un cop publicat, queda fora del nostre control.
  • Pensar a llarg termini. La foto que ara és graciosa pot perjudicar-lo en el futur
  • Compte amb el context de la fotografia. Pot oferir molta informació com edat, estatus econòmic, ubicació (a banda del geoposicionament per les metadades), la relació amb altres persones, etc.
  • No publicar fotos del menor despullat o en situacions incòmodes.
  • Llegir les condicions de servei de les xarxes socials.
  • Preguntar al menor, tan aviat com sigui possible, si vol que pugem la foto a Internet. No ens eximeix de responsabilitat però facilita la reflexió i implica al menor en la decisió.
  • No publicar fotos d’altres menors sense consentiment dels pares (per exemple, fotos d’aniversari o del col·legi).
  • Supervisar els continguts que el menor puja a la xarxa.

Com recomanació genèrica, seguir les indicacions de la web is4k (Internet Segura for Kids), un portal d’INCIBE. Està plena de bons consells explicats de forma amena i amb continguts per compartir amb els menors.

Què fem si volem retirar les fotos (dret a l’oblit)?

En general, no es una bona idea publicar fotos de nens a les xarxes socials més enllà d’algunes fetes amb cura i prudència.

Però si ho necessitem, està al nostre abast l’exercici del Dret a l’oblit. La primera acció obvia és, si nosaltres no som els autors, demanar a l’autor que la retiri. Si no obtenim resultat, el Reglament General de Protecció de Dades (RGPD) ens empara en l’exercici del Dret de Supressió que, en l’àmbit d’Internet, es denomina Dret a l’oblit. D’això ja n’hem parlat i podeu trobar més informació aquí.

Com sempre, cuidem als menors i cuidem-nos!

Els morts vivents de les tecnològiques

Hi ha que assumir-ho: una hora o altre a tots ens arriba el moment de deixar aquest món. I aquest moment és molt delicat per els familiars del difunt. De manera que tot el que es faci per facilitar els tràmits serà de molt agrair. Però hi ha empreses que no tenen aquesta sensibilitat. I, és evident, cal corregir aquesta mancança.

Tot ve arran d’una nova condemna a Telefònica i un episodi, un més, molt desafortunat de Vodafone.

Els fets de Telefònica

En el primer cas, tal i com explica El País, Telefònica és condemnada per incloure en un fitxer de morosos a una persona, 18 anys després de morta. El jutge ha condemnat a la companyia a indemnitzar els hereus de la dona a la que va mantenir en un registre de deutors, tot i que li van suplantar la identitat.

La persona en qüestió va morir l’abril del 2003 i el febrer de 2021 la seva filla va rebre una carta d’Asnef (registre de morosos) informant-li que la difunta estava inclosa en un fitxer de morosos per un deute contret amb Telefònica. L’empresa reclamava una factura de de 182,39 euros emesa quan la dona ja havia mort. Algú va donar d’alta un telèfon fix amb les dades de la difunta però l’empresa no va esmenar l’error tot i rebre el certificat de defunció de la presumpte morosa.

La sentència imposa a Telefònica el pagament d’una indemnització de 10.000€ als familiars dels afectats, més interessos i costes.

Un verdader malson que, afortunadament, ha tingut un final, no dic feliç perquè l’experiència s’ho val, però al menys just.

La setmana passada també ens fèiem ressò d’una sanció imposada a Naturgy per un tractament il·lícit de dades personals com aquest, per no tenir actualitzades les dades tal i com exigeix el Reglament.

Els fets de Vodafone.

Segons explica Enrique Dans, un conegut periodista i activista britànic, George Monbiot, va intentar cancel·lar el contracte de mòbil de la seva mare, arran de la seva mort. La companyia va començar a posar tot tipus de dificultats i a assetjar al seu pare demanant dades con la data exacte en que havia signat el contracte, que naturalment no podia recordar, amb “extrema rudesa i agressivitat”-

Davant de la impossibilitat de cancel·lar el compte, van decidir deixar d’assumir els càrrecs. I, com no podia ser d’altre manera, Vodafone els va incloure en un fitxer de morosos en una empresa que va continuar importunant al pare.

Aquest cas, es va poder solucionar ràpidament perquè el periodista va escriure un fil molt detallat en el seu compte de Twitter que té al voltant de mig milió de seguidors. Milers de retweets i likes van fer la seva màgia amb molts seguidors relatant experiències similars. Vodafone va demanar immediatament disculpes però el periodista no es conforma perquè entén que la manera de procedir és part d’una política corporativa i vol arribar al fons de l’assumpte. Com diu el professor Dans, amb episodis com aquest, “a Vodafone se li estaran apareixen els seus mort durant bastant temps”.

La conclusió

En ambdós casos, es crea un menyscapte i una angoixa degut a l’assetjament i la impotència, absolutament desproporcionats amb el deutes quan, a més , no són veritat.

Tot sembla indicar que les actuacions responen a una política corporativa orientada donar totes les facilitats per contractar els serveis i, en canvi, a exercir màxima pressió per qui vol rescindir el contracte. I hauria de ser, al menys, tant fàcil sortir com entrar, per ser justos. El consumidor sempre és la part dèbil del contracte i ha de tenir una protecció especial.

Com sempre, cuideu-vos!

La dada personal que sempre s’oblida!

Quan pensem en dades personal, de seguida ens ve al cap el nom, el DNI, el rostre i tants d’altres, en particular aquells denominats de “categoria especial” com són els que es refereixen a la salut, a les nostres preferències polítiques o religioses, l’afiliació sindical, l’orientació sexual o les dades genètiques o biomètriques, per exemple. I hi ha dades personals que són menys evidents com pot ser la direcció IP (Internet Protocol), el ID de cookie, el ID dels dispositius o el IMEI dels telèfons.

I la que sempre s’oblida, tot sovint fins i tot en àmbits professionals, és la veu, dada de la que avui volem parlar.

I volem parlar de la veu arran d’una sanció que l’AEPD ha imposat recentment a Radio Televisión Madrid, SA (TeleMadrid) per difondre un àudio d’una declaració judicial. L’import ha estat de 50.000€ i la raó que la cadena de televisió va difondre la gravació, sense distorsionar, de la declaració judicial de la víctima d’una violació múltiple en diferents pàgines web i també a Twitter.

Els fets

Es presenta una reclamació perquè diversos mitjans de comunicació havien publicat en els seus portals digitals l’àudio per il·lustrar la noticia de la celebració d’un judici en un cas molt mediàtic. Els mitjans van retirar les publicacions però van quedar les realitzades en els perfils de Twitter. En aquestes publicacions es podia sentir la veu de la víctima sense el distorsionat de la veu sent, per tant, perfectament identificable.

La veu com a dada personal

Segons l’article 4.1 del RGPD, la veu d’una persona es una dada personal en tant la fa identificable i la seva protecció és, en conseqüència, objecte del Reglament.

La veu és un atribut personal propi i individual de cada persona física que es defineix per la seva alçada, intensitat i timbre.

Té trets  distintius únics i singulars que la individualitzen de manera directa, associant-la a un individu concret, és modulada en parlar, podent conèixer, a través d’ella l’edat, el sexe, l’estat de salut del individu, la seva manera de ser, la seva cultura, el seu origen, el seu estat hormonal, emocional i psíquic. Elements de l’expressió, l’idiolecte o l’ entonació, també són dades de caràcter personal considerats conjuntament amb la veu.

Equilibri entre la protecció de dades i llibertat d’informació

Ambdós drets estan sempre en un equilibri precari. En aquest cas, però, l’AEPD considera que el tractament ha estat excessiu, al no existir un interès públic informatiu prevalent en la difusió de la veu de la víctima sense distorsionar que no aportava cap valor afegit.

L’Agència també a considerat la naturalesa especialment sensible de les dades personals i l’afectació a la intimitat de la víctima  “que mereix més protecció l’interès de la titular del dret a la protecció de les seves dades personals”.

Segons la directora de la Institució, es tracta de “fer plenament compatibles els drets perquè quedin ambdós absolutament garantits”.

La sanció

L’AEPD qualifica la infracció de molt greu perquè comporta una pèrdua de disposició i control de les dades personals i, a més, al difondre’ls es condemna novament a la víctima a ser reconeguda per tercers, amb els greus danys i perjudicis que s’ocasionen.

No s’aprecia intencionalitat però si l’agreujant de negligència perquè distorsionar la veu es fa amb freqüència en els mitjans audiovisuals, màxim en circumstàncies tan sensibles.

Es considera que la infracció suposa un greu perjudici per l’afectada ja que el succés està vinculat a la seva vida sexual.

Dret a l’oblit

És oportú recordar aquí el dret al oblit que, emparats en el RGPD, tenim tots els ciutadans. És el dret a sol·licitar, sota determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada pel teu nom. Si teniu algun dubte respecte a aquest dret, podeu fer-nos una consulta aquí, sense compromís.

Per acabar, no agreugem el patiment de les víctimes reenviant continguts lesius per les persones. La responsabilitat és nostra. Com sempre, cuideu-vos i cuidem als demés!

Tens dret a l’oblit!

El Tribunal Constitucional reconeix el dret d’un comerciant que va demanar eliminar dades desqualificatòries. I ho ha fet declarant inconstitucionals les sentències que van anul·lar la decisió de l’Agència Espanyola de Protecció de Dades (AEPD) d’atendre la petició.

Però bé, comencem per el principi. Què és el dret a l’oblit?

De forma resumida, podem dir que és el dret a sol·licitar, sota determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada pel teu nom.

Aquest dret, d’origen jurisprudencial, es troba recollit en el RGPD i en la LOPDGDD i no s’ha de confondre amb el Dret de Supressió (veurem les diferències més endavant).

L’assumpte ve de lluny, només cal recordar aquí la coneguda com “Sentència Google Spain”, pionera en la matèria.  

Repassem els principals trets d’aquest dret.

Característiques

El Dret a l’oblit es pot exercir davant dels buscadors i dels editors de les pàgines web perquè són responsables del tractament de dades personals. Preval sobre l’interès econòmic del buscador i del interès públic per garantir el dret a la privacitat. El dret apareix quan el nom d’una persona està enllaçat a publicacions que contenen informació personal. No hi ha termini per exercir-lo, sempre que hi hagin raons legítimes per fer-ho.

Requisits per exercir-lo

La norma enumera diferents supòsits que avalen l’exercici quan, per exemple, els resultats obtinguts després d’una cerca realitzada a partir del nom de la persona, els enllaços publicats amb informació de la persona fossin inadequats, inexactes, no pertinents, no actualitzats o excessius o haguessin esdevingut com a tals pel transcurs del temps.

També es podrà sol·licitar si s’evidenciés la prevalença dels drets de l’afectat sobre el manteniment dels enllaços per el servei de cerca a Internet.

El dret subsistirà encara que sigui lícita la conservació de la informació publicada en el lloc web i no es procedís al seu esborrat previ o simultani.

És important destacar que l’exercici del dret no impedirà l’accés a la informació publicada en el lloc web si s’hi accedeix fent servir altres criteris diferents al nom de qui exerceix el dret.

Limitacions

El Ple del TC ha precisat els límits del dret a l’oblit, entre els quals ha destacat el factor de la importància pública de la notícia i el de la seva antiguitat; així com la responsabilitat de les entitats que operen motors de recerca d’ Internet de respectar el dret a la supressió d’ aquests enllaços quan infringeixin la normativa de la Unió Europea i espanyola en la matèria.

Apuntar, per part nostra, altres límits que recull el RGPD com són la llibertat d’expressió i informació, el compliment d’un obligació legal, per raons d’interès públic en l’àmbit de la salut pública, quan hi hagin finalitats d’arxiu d’interès públic, investigació científica o històrica i per la defensa de reclamacions.

Procediment per l’exercici del dret a l’oblit

La normativa estableix que per exercir el dret de supressió (i, per tant, el dret a l’oblit) es imprescindible que l’afectat es dirigeixi personalment a l’entitat que tracta les seves dades (buscador o web).

Si l’entitat no respon a la petició realitzada o la resposta rebuda no es considera adequada, l’afectat pot interposar una reclamació davant l’AEPD que determinarà si l’estima o no. La decisió de l’Agència és recurrible davant els Tribunals.

Diferències entre el dret a l’oblit i el dret de supressió

Tot i que sovint es confonen el Dret a l’Oblit i el Dret de Supressió, no són exactament el mateix. Podem veure el dret a l’oblit com la manifestació del dret de supressió aplicat als buscadors d’Internet. Fa referència a la possibilitar de impedir la difusió de informació personal a través de Internet quan la seva publicació bo compleix els requisits d’adequació i pertinença previstos en la normativa..

El primer, citat en el RGPD, està desenvolupat en l’article 93 LOPDGDD pel que fa a les cerques a Internet i en l’article 94 de la mateixa Llei pel que fa als serveis de xarxes socials i similars.

El Dret de Supressió es recull el RGPD, en l’article 17 que confereix a l’interessat el dret a obtenir, sense dilació indeguda, del responsable del tractament la supressió de les dades personals que li concerneixin, el qual  estarà obligat a suprimir les dades personals quan concorri alguna de les circumstàncies que es detallen.

Resumint

El Dret a l’oblit és l’aplicació del Dret de supressió en l’entorn dels buscadors de Internet. Recentment, el Tribunal Constitucional ha dictat una sentència que referma aquest dret a Internet.

El Dret a l’oblit permet a l’afectat demanar, en certes condicions, que els enllaços a les seves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el seu nom.

El Dret el pot exercir el propi afectat davant dels responsables dels buscadors o, si no obté resposta adequada, davant l’AEPD.

A Tecnolawyer, com consultora especialista en Dret Digital i Protecció de Dades, podem determinar la informació personal vostra que circula per Internet i exercir en el vostre nom el dret a l’oblit. De forma segura i confidencial. Podeu fer-nos una consulta aquí.

Com sempre, cuideu-vos, també a Internet!           

Post relacionat: Google no oblida. L’AEPD tampoc …

17.200 milions de registres perduts entre 2004 i 2021

Així és recull en un recent article de Visual Capitalist titulat “Visualizing The 50 Biggest Data Breaches From 2004–2021”. La veritat és que la dada objectivament resulta impressionant. És clar que si la posem en el context del total de dades que es gestionen en el món, probablement es podrà relativitzar. En qualsevol cas, el titular és prou cridaner per fer algunes reflexions al voltant de la privacitat i el seu corol·lari, la ciberseguretat.

Què és una bretxa de seguretat?

Comencem per el principi. Una bretxa de seguretat és un incident per el qual informació sensible o confidencial es copiada, transmesa o robada per un entitat no autoritzada. Això pot ocórrer com a resultat de atacs de malware, frau en pagaments, filtracions internes o divulgació no intencionada.

Entenent els fonaments de les Bretxes de Seguretat

La bretxa de seguretat consisteix en tot acte d’intromissió, il·lícit o no autoritzat que:

  • Pot ocasionar la destrucció, pèrdua o alteració accidental de les dades personals.
  • Pot permetre la comunicació, revelació o accés no autoritzats a fitxers o tractaments de dades personals.

Mesures de seguretat

El RGPD exigeix als responsables de tractament de dades que apliquin les mesures jurídiques, tècniques i organitzatives necessàries per garantir la seguretat de les mateixes.

Però la seguretat ha d’ampliar-se més enllà de la protecció de dades i ha d’envoltar tots els actius de l’empresa, començant per els actius intangibles que són molts i molt valuosos: plans de màrqueting, patents, relacions amb clients, proveïdors, partners i institucions, dades (per exemple, llistes de clients potencials), desenvolupament de software, marques  i un llarg etcètera. Aquest patrimoni es pot protegir ampliant les mesures de seguretat que apliquem a les dades.

Privacitat,  ciberseguretat i el factor humà.

La ciberseguretat és un mitjà per protegir a les organitzacions i a les persones. Les mesures són, com dèiem, jurídiques, organitzatives i tècniques. I el factor clau és, com sempre, l’humà. Perquè està a la seva mà implementar les mesures i, alhora, és l’actiu final a protegir. Les mesures de ciberseguretat són del tot imprescindibles però, de la mateixa manera, les persones hem de de ser conscients de la necessitat de protegir-nos davant de pràctiques com l’enginyeria social, el phishing, l’explotació de les xarxes socials i tantes altres pràctiques que només busquen fer-se amb les nostres dades per obtenir un benefici il·licit. Segons el 2022 Data Breach Investigations Report de Verizon, en el 82% de les bretxes va estar implicat el factor humà, inclosos atacs socials, errors i mal ús.

Mesures tècniques bàsiques

  • Ús de contrasenyes segures i doble factor d’autenticació
  • Còpies de seguretat
  • Sistemes actualitzats
  • Exposició de serveis a Internet
  • Xifrat de dispositius

¿Què hem de fer si patim una bretxa de seguretat a ? Protocol AEPD

Partint del supòsit que la nostra empresa està adequada al RGPD, l’article 33 ens imposa l’obligació de notificar l’incident a l’autoritat de control quan sigui probable que aquest constitueixi un risc per els drets i llibertats de les persones, en un termini inferior a les 72h. des de que en tinguem constància.

L’AEPD té publicada una Guia per la notificació de bretxes de dades personals.

Vigilem les nostres dades i, com sempre, cuideu-vos!

 

 

 

 

Revisió Texts legals web