Si no pagues els serveis amb diners, ho fas amb les teves dades!

Això no és nou. Des de fa temps sabem que tot allò que ens donen “gratuïtament” ho estem pagant amb les nostres dades personals. Ens baixem una app per fer, posem per cas, de brúixola i ens demanen consentiment per accedir a les nostres dades, als contactes, a la nostre ubicació, a les fotografies i els vídeos i a un llarg etc. de dades.  

Tenint en compte que en el nostre telèfon tenim de mitja unes dos-centes aplicacions instal·lades, ja ens podem anar fent una idea de l’escampada de dades que hi ha.

Però tampoc cal que sigui una app, ni tan sols que la transacció es faci a Internet. Les targetes de pagament com VISA o les de fidelització de qualsevol comerç, acumulen al llarg del temps una gran quantitat de dades que permeten fer perfils molts acurats dels individus.

Què mengem, quants som a casa, de quines edats, estatus econòmic, dificultats per arribar a final de mes, quines són les nostres preferències en alimentació, viatges, música i tantes altres coses. I tot a canvi de miserables punts o algun descompte de tant en tant.

Fins aquí tot el que sabíem però ara, CaixaBank, ens ha obert encara més els ulls. I de manera francament desagradable, per dir-ho suaument. Perquè l’Agència Espanyola de Protecció de Dades l’ha sancionat amb 2.100.000€ per condicionar la prestació del consentiment als seus clients. Una multa de 2.000.000€ per condicionar l’obtenció del consentiment a l’exempció de comissions bancàries. I, una segona, perquè en el formulari de consentiment les caselles estaven premarcades. Pràctica molt habitual (també passa amb les cookies) que, en aquest cas, ha estat sancionada amb 100.000€.

Sí, heu llegit bé. Segons l’AEPD, el banc condicionava l’exempció de comissions a l’atorgament del consentiment per part del client per rebre comunicacions comercials i per cedir les seves dades a les entitats del Grup Bankia. El Reglament Europeu, diu clarament que “el consentiment quedarà invalidat per qualsevol influencia o pressió inadequada exercida sobre l’interessat que impedeixi que aquest exerceixi la seva lliure voluntat”. L’Agència valora com agreujant el gran número de clients, prop d’un milió, que havien prestat el consentiment per rebre publicitat i cedir les dades a Bankia.

La segona multa es deu q la inobservança del requisit d’obtenir el consentiment d’una manera lliure, específica, informada i inequívoca, incomplint el RGPD per quant “el silenci, les caselles premarcades o la inacció no han de constituir consentiment”. Aquesta invalidesa comporta una falta de legitimació que infringeix l’article 6.1 RGPD.

Aquestes notícies creen neguit en la societat, més si venen d’una institució que molts considerem senyera. D’una empresa de referència com aquesta i per la naturalesa del seu negoci, s’espera que, a més complir la normativa vigent, apliquin els més alts estàndards ètics en el tracte als seus clients. La sanció econòmica no tindrà més transcendència però la reputació del Banc se’n veurà afectada.  

Com diu el xef José Andrés, “lo important és que ens cuidem els uns als altres”. Podem començar perquè les empreses ens cuidin. I, no descuidem, vigilar nosaltres mateixos!

Google no oblida. L’AEPD tampoc …

L’Agència Espanyola de Protecció de Dades (AEPD) l’acaba de sancionar a Google amb una multa rècord de 10 milions d’euros per cometre dos infraccions molt greus: una, per cedir dades a tercers i l’altre per obstaculitzar amb un formulari confús que la tecnològica posava a disposició dels usuaris, precisament, per exercir el dret a l’oblit.

Dos infraccions molt greus contra la normativa de protecció de dades que suposen una multa rècord de 10 milions d’euros per cedir dades a tercers sense legitimació per fer-ho i obstaculitzar el dret de supressió dels ciutadans, vulnerant els articles 6 y 17 del Reglament General de Protecció de Dades (RGPD).

Pel que fa a la primera, la cessió inconsentida de dades, l’Agència ha constatat que Google envia al Projecte Lumen informació de sol·licituds que li fan els usuaris, incloent-hi la identificació, adreça de correu electrònic, motius al·legats i la URL reclamada. La finalitat del projecte és la recollida i posada a disposició de sol·licituds de retirada de contingut en una base de dades accessible al públic, el que, en la pràctica, suposa frustrar la finalitat del dret de supressió.

Recordem que el dret a l’oblit permet sol·licitar, en determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el teu nom. L’exercici d’aquest dret no elimina el contingut en sí però, al no estar disponible en els motors de recerca dels indexadors (Google, Bing, Yahoo, etc.), ho fa més difícil.

Lumen Database disposa d’un cercador de reclamacions que s’allotgen a la seva base de dades que es pot consultar per diversos paràmetres (paraules clau, remitents, temes, …)

De manera que, si pots trobar-ho a la base de dades de Lumen ja no existeix el dret a l’oblit.

Pel que fa a la segona, l’exercici del dret mitjançant el formulari que ofereix Google, l’AEPD ha entès que és complex, confon a l’usuari i feia molt difícil que es pogués exercir el dret a l’oblit correctament. El sistema conduïa a l’interessat a través de diverses pàgines per complimentar la sol·licitud, sense mencionar la normativa de protecció de dades de referència, obligant-lo a marcar opcions que se li oferien sense explicacions.

Com resultat d’aquest procediment, queda a criteri de Google la decisió de quan s’aplica i quan no el RGPD, de forma que “acceptar el dret de supressió de dades personals queda condicionat per el sistema d’eliminació de continguts per part de l’entitat responsable”.

Segons Google, ja han començat a “reavaluar i redissenyar les pràctiques d’intercanvi de dades amb Lumen a la llum de les consideracions de l’AEPD”. De les consideracions i, apuntem, de la sanció.

Siguem curosos amb la nostra informació perquè quan aquesta es publica a Internet ja no queda a les nostres mans. Com sempre, cuideu-vos!

‘Fake news’ i empresa, què hem de saber?

Temps enrere vam parlar de les deepfakes i ara volem fer una ullada a com les ‘fake news’ poden afectar a les empreses.

Estem, i cada dia més, entrant de ple en l’era de la infoxicació (overload Information). Aquest neologisme fa referència al concepte de sobrecàrrega informativa que té lloc quan la quantitat o la intensitat d’informació excedeixen la capacitat limitada de processament de l’ individu, la qual cosa pot provocar efectes disfuncionals. El terme el devem a Alfons Cornella, fundador del Institut Next.

Mitjans competint per l’audiència i per omplir parrilles i milions d’usuaris que, de cop i volta, ens hem tornat periodistes, comentaristes, influencers i no sé quantes coses més. I, com és natural, les xarxes socials han elevat la infoxicació a l’enèsima potència.

Afegim-li els esdeveniments extraordinaris que d’ençà a uns anys estem vivint: pandèmia, naturalesa desfermada, guerra, crisis climàtica i un llarg reguitzell que afegeix pressió a la caldera informativa.

Tos aquest cúmul de circumstàncies fa que cada cop siguem menys curosos amb la verificació de la informació que rebem, no tenim temps, ni ganes, de contrastar-la ni molt menys de refutar-la. I ja tenim un excel·lent caldo de cultiu per les fake news.

Però tot això, que en l’esfera privada pot tenir conseqüències que van des de lleus (s’anuncia de forma falsament intencionada que un jugador fitxarà per un altre equip la propera temporada) a molt greus (com pot ser l’assetjament sexual), en el cas de les empreses els efectes poden ser devastadors si no es prenen mesures.

En efecte, a l’empresa hi ha dos vessants, com a mínim, que s’han de cobrir. D’una banda, la difusió per part de la nostra empresa de informacions falses: alertar d’una suposada escassetat d’un producte per fer-ne pujar el preu, difondre notícies negatives sense fonament sobre un competidor o fer publicitat denigratòria. En aquests casos podríem estar infringint una sèrie de normatives que van des de la Llei General de comunicació audiovisual (art.61) a la Llei de Competència deslleial (art 27.3), entre altres.

I, a contrari sensu, la nostre empresa en pot ser l’afectada. Sigui per alguna noticia falsa de les esmentades, que totes tindran recorregut en els tribunals amb les conegudes dificultats probatòries, o, i això és més subtil, que una informació no contrastada ens porti a prendre una decisió desencertada amb el conseqüent perjudici econòmic o, pitjor, reputacional.

En aquest punt, cal fer unes recomanacions per intentar minimitzar els possibles perills. Partir del convenciment que no tot el que es publica, amb independència del mitjà, es fiable i aplicar grans dosis d’escepticisme i sentit comú acostuma a ser un bon començament. Recórrer a la font original (i sospitar si no es cita), buscar la informació en altres fonts, distingir entre informació i opinió i no creure per defecte aquella informació que s’adapta al nostre biaix poden ser bones guies per no caure en el parany.

Des de notícies falses per intentar manipular eleccions fins a notícies alarmants a propòsit del COVID estem sotmesos a una pluja de informacions que necessàriament hem de contrastar si volem evitar situacions adverses, tant en el pla personal com en el professional.

Potser ens convindria un ‘detox‘ informatiu. Mentrestant i com sempre, cuideu-vos!

Fotos i Xarxes socials, amistats perilloses

No cal recordar la implantació de les xarxes socials a la nostra societat, amb tasses de penetració entre els internautes superiors al 80% a Whatsapp o Facebook, i de la facilitat que ens ofereix la tecnologia per fer fotografies (o copiar-les) per pujar-les a les xarxes i distribuir-les en segons a milions d’usuaris. Lluny queda aquella fotografia analògica que potser tenia més “glamour” però, per descomptat, no tenia les avantatges de l’actual. Però aquestes avantatges, si no som curosos, ens poden complicar molt la vida.

I això ve a compte de l’alerta de la Fiscalia de Delictes Informàtics de Barcelona sobre l’augment, coincidint amb la pandèmia, de denúncies davant la policia per la captació de fotos que les adolescents, principalment noies entre 12 i 18 anys, pengen a les xarxes socials per utilitzar-les com reclam en portals pornogràfics de pagament a Internet.

Heu llegit bé. Les adolescents -des del 12 anys- pugen fotos lleugeres de roba o en bikini i en postures més o menys explícites, per atraure més seguidors. I les web pornogràfiques fan servir aquestes imatges per promocionar la seves pàgines, aprofitant-se fins i tot, de la popularitat que aquestes noies poden tenir com “influencers”.

Tot i ser cridanera aquesta utilització injusta de les fotografies com ham, no és ni de lluny l’única amistat perillosa que poden trobar en el binomi fotos i xarxes. Aquí en recollim alguns.

Menors. Els progenitors, independentment del seu estat civil, són els responsables de que es respectin el dret a la imatge, al honor i a la intimitat del menor. I són els que han d’autoritzar que es comparteixin imatges dels seus fills. A partir dels 14 anys però, segons la Llei Orgànica 3/2018 (LOPD), és el menor qui ha d’autoritzar la publicació.

Drets d’autor. Partint de la Llei de Propietat intel·lectual, hem de prendre precaucions per respectar els drets d’autor. Hem de recordar que els drets d’explotació de les fotografies pertanyen en exclusiva al seu autor. Per compartir fotografies a les xarxes socials, hem de comptar amb una autorització expressa de l’autor. Un altre dia aprofundirem més en aquest tema.

Àmbit laboral.  L’ús indegut en horari laboral pot ser un agreujant en cas d’acomiadament disciplinari. A tal d’exemple, fotografiar-se conduint el vehicle d’empresa en horari laboral sobrepassant el límit de velocitat o publicar una foto a Facebook, identificant-se com treballador de l’empresa, recomanant als seus seguidors no comprar en aquesta empresa.

Delictes. Pujar fotografies a la xarxa pot ser constitutiu de delicte en determinats casos. Els més coneguts són el Cyberbullying (assetjament), Stalking (persecució), Grooming (pederastes a Internet) o Sextorsión (xantatge sexual). Per part de les víctimes existeixen comportaments que, tot i ser innocents, posen en perill la seva intimitat i poden donar peu a ser atacats. Parlen de Oversharing (sobreexposició), Sharenting (sobrecompartició) o Sexting (enviar/rebre fotografies més o menys explícites).

Conseqüències de l’ús indegut. En funció de la naturalesa de la conducta, la gravetat i el seu encaix penal, ens podem trobar des d’una multa fins a una condemna a presó. Per això cal estar molt atent a aquestes “amistats perilloses.

Com sempre, cuideu-vos!

Possiblement la broma telefònica més cara del mòn

L’Agència Espanyola de Protecció de Dades va publicar dimarts passat la Memòria anual de l’exercici 2020. Durant aquest exercici, es van presentar un total de 10.324 reclamacions a l’organisme.

Les reclamacions plantejades amb major freqüència el passat 2020 fan referència a:

– Serveis d’internet (16%)
– Inserció indeguda en fitxers de morositat (15%)
– Videovigilància (12%)
– Recepció de publicitat (7%)
– Reclamació de deutes (6%)

Veiem com les reclamacions relacionades amb serveis d’internet encapçalen la llista, amb un increment del 5% respecte a l’any passat.

Un exemple a destacar és el procediment instruït a Miraclia per “la utilització de les dades personals del reclamant per a fer-li una broma mitjançant una trucada telefònica al seu mòbil, servint-se per a això d’una app”. La trucada va ser gravada i difosa a tercers sense el consentiment de l’afectat. Doncs bé, la broma va costar a Miraclia dues sancions de 20.000 € cadascuna, és a dir 40.000 € en total. Afegint-li el mal reputacional a la marca, possiblement és la broma telefònica més cara del món. A més, Miraclia va haver d’adequar els seus tractaments a la normativa de protecció de dades.

Finalment, el passat 2020 l’Agència ha dictat 393 resolucions sancionadores, la qual cosa suposa un increment del 16% respecte a l’any anterior. En aquest cas, les àrees més freqüents amb expedients sancionadors són videovigilància seguida de serveis d’internet. No obstant això, els sectors que s’enduen la palma quant a import de sancions són el sector bancari i el de telecomunicacions, que només aquest 2020 entre els dos aconsegueixen els 8 milions d’euros en sancions, un increment del 27% respecte al 2019.

Veiem doncs que, malgrat la pandèmia, l’Agència Espanyola de Protecció de Dades continua actuant amb fermesa, i no li tremola el pols a l’hora de sancionar. I tot apunta al fet que aquesta tendència continuï creixent.

Cuideu-vos.

Una visita al veterinari que va costar 35.000€

De vegades, ens podem complicar molt la vida per deixar-nos portar per els impulsos en comptes de tenir un comportament racional i ajustat a dret. I a la vida no val tot i a Internet, tampoc. Així que fem les coses bé i ens estalviarem disgustos.

En una sentència destacable pel que fa a l’assetjament online, el titular del Jutjat de Primera Instància nº7 de Santander ha estimat la demanda presentada per una clínica veterinària contra un client que els va amenaçar amb que els “aixafaria” a les xarxes socials, va complir l’amenaça i va orquestrar, de manera intencionada, una campanya de descrèdit de la clínica.

La sentència entén que aquesta acció va més enllà del que es podria considerar una lícita critica a la perícia professional dels demandants. L’assumpte, per via penal, ja va acabar amb condemna com autor d’un delicte lleu de amenaces.

Ara se’l condemna “a que cessi en la intromissió il·legítima de el dret a l’honor dels demandants”, a que “doni les instruccions precises i, si escau, l’autorització a Google a retirar les afirmacions amb continguts injuriosos, calumniosos i amenaçadors “proferides pel demandat, els seus familiars, amics i companys de treball a la pàgina web de la clínica, i al pagament d’una indemnització que ascendeix a 34.895,83 euros.

I els fets? Doncs com explica la sentència, una parella va portar el gos a la clínica a on li van fer un examen general, li van prendre la temperatura i van proposar fer més proves de diagnòstic. El mateix dia, el demandat va portar a l’animal a un altre clínica que va diagnosticar una infecció d’orina. El demandat va tornar a la primera clínica, va omplir el full de reclamacions i va demanar la devolució dels 55€ que li havien cobrat per la visita. Davant la negativa a la devolució, va proferir les amenaces. Dies després, va escriure una ressenya negativa  a la pàgina My Business de Google de la clínica. A partir d’aquí, van començar a aparèixer ressenyes negatives de la clínica per part de familiars i amics del demandat que, per descomptat, no tenien cap fonament.

Considera el jutge d’instància que aquesta acció està dirigida exclusivament a afectar negativament al prestigi professional públic de la clínica i els seus professionals, constituint una extralimitació del legítim exercici del dret a la llibertat d’expressió.

Manifestar una opinió o una crítica legal per els serveis rebuts és perfectament legítim. No ho és, però, fer servir les xarxes socials per finalitats espúries com pot ser la d’atacar directament el prestigi professional.

En definitiva, una visita al veterinari que va acabar molt malament per no tenir un comportament racional i ajustat  a dret. Condemna, indemnització, estrès per tots els implicats, … un verdader despropòsit. Fem les coses bé que sempre és més fàcil i costa menys.

Cuideu-vos!

Twitter, on vas?

Hem conegut aquest setmana, dimecres, que Twitter, la xarxa social dels missatges curts, ha estat hackejada. Els comptes de Jeff Bezos, Musk, Obama o Gates s’han vist decididament compromesos. Això, junt amb la resposta de la companyia a l’incident, ha disparat totes les alarmes.

En els Estats Units ja ho han qualificat de “tweet-tastrophe”. I no és per menys. La bretxa de seguretat ha afectat a unes 130 comptes de persones rellevants. I els hackers, segons les primeres informacions, han pogut tenir accés total a un nombre indeterminat d’aquests comptes.

Twitter pot tenir actualment uns 400 milions d’usuaris i és la forma més ràpida de comunicació de masses. Cap altre mitjà hi pot competir. I tot el que té de bo ho té de pervers en situacions com aquesta. I perversitat en dos vessants: la gravíssima situació creada d’una banda i, de l’altre, la irresponsabilitat de la companyia i la seva decebedora resposta a l’incident.

Respecte a la primera, ara hem tingut evidència del risc que suposa que els líders mundials facin servir un producte comercial que no ha estat verificat per les autoritats de seguretat i que està en mans d’una empresa privada. Imaginem, per un moment, la importància que pot tenir per la cotització de Tesla a borsa un tweet malintencionat tuitat, suposadament, per Elon Musk. O per a les economies mundials si el tweet procedeix d’un Bill Gates impostat. I que dir d’un tweet fake de Trump quan els verdaders ja ens posen els cabells de punta. Des de l’enfonsament d’una companyia a un terrabastall econòmic, o ves a saber si sanitari si el tuit es refereix al COVID-10, fins a posar en perill la seguretat mundial amb tuits falsos creuats entre Trump i Putin, per exemple.

Respecte a la responsabilitat de la companyia val a dir que és màxima. És clar que tot sistema és susceptible de ser hackejat però per això les empreses, i més quan són així de rellevants, han de tenir plans de contingència que permetin minimitzar sinó evitar els possibles danys. I en qualsevol cas, si els comptes són atacats, mai hauria d’existir la possibilitat que algú prengués el control del compte d’un usuari quan aquest ha seguit totes les normes i ha aplicat les seves mesures de seguretat. La irresponsabilitat de Twitter és estratosfèrica i absolutament imperdonable.

 I la resposta a l’incident has estat absolutament insuficient. Sense comunicació, sense informació, sense explicacions, sense disculpes. Silenci total. Descontrol total. I aquest no és el camí. Per això preguntem, Twitter, on vas?

Imatge Pixabay

Revisió Texts legals web