Seguridad de la Información

7.1. Fundamentos y estándares de Seguridad de la Información.
7.2. El binomio seguridad de la información como obligación legal y seguridad de la información como buenas prácticas.
7.3. Visión práctica de la auditoría de sistemas de información. El perfil profesional de auditor de sistemas de información.
7.4. Sistemas de Gestión de la Seguridad de la Información (SGSI): ISO 27001: 2013.
7.5. Auditoría y perfil jurídico: métodos de trabajo de auditoría de seguridad aplicada a las obligaciones legales de auditar sistemas de información.

Llei de Serveis Digitals (DSA) i marketing digital

per

La coneguda com Llei de Serveis Digitals (DSA) de la Unió Europea (Reglament UE), en vigor des de febrer de 2024, marca un abans i un després en el panorama del màrqueting digital. Aquesta normativa, dissenyada per crear un entorn en línia més segur i transparent, porta amb si canvis significatius que afecten directament les estratègies de màrqueting d’ empreses de totes les mides. En aquest article, explorarem com la DSA està transformant el màrqueting digital i què poden fer les empreses per adaptar-se a aquest nou escenari.

Principals canvis introduïts per la DSA

Més transparència en la publicitat

La DSA exigeix una major transparència en la publicitat online. Això implica:

  • Identificació clara dels anuncis i qui els patrocina
  • Explicació de per què un usuari està veient un anunci específic
  • Prohibició de publicitat dirigida basada en dades sensibles

Aquests canvis obliguen les empreses a repensar les seves estratègies de segmentació i a ser més transparents en les seves pràctiques publicitàries.

Restriccions en la publicitat adreçada a menors

Una de les mesures més significatives és la prohibició de la publicitat dirigida a menors basada en perfils. Això suposa:

  • Necessitat de desenvolupar estratègies de màrqueting alternatives per arribar al públic jove
  • Major èmfasi en el màrqueting de continguts i la publicitat contextual

Control de l’ usuari sobre les recomanacions

La llei atorga als usuaris més control sobre com se’ls mostren recomanacions:

  • Opció de no rebre recomanacions basades en perfils
  • Més transparència sobre com funcionen els sistemes de recomanació

Això implica que les empreses hauran d’ adaptar les seves estratègies de personalització i trobar noves formes d’ oferir contingut rellevant.

Adaptació de les estratègies de màrqueting

Enfocament en dades pròpies (first-party data)

Amb les restriccions en l’ ús de dades de tercers, les empreses han de:

  • Enfortir les seves estratègies de recopilació de dades pròpies
  • Millorar la qualitat i l’ anàlisi de les dades recopilades directament dels usuaris
  • Implementar sistemes robustos de gestió de consentiment

Auge del màrqueting contextual

El màrqueting contextual guanya rellevància com a alternativa a la publicitat basada en perfils:

  • Desenvolupament d’ estratègies publicitàries basades en el context del contingut
  • Major èmfasi en la rellevància i qualitat del contingut publicitari

Innovació en el mesurament i atribució

Les empreses necessitaran:

  • Desenvolupar nous mètodes de mesurament de l’ eficàcia publicitària
  • Implementar models d’atribució alternatius que no depenguin de cookies de tercers

Oportunitats emergents

Malgrat els desafiaments, la DSA també presenta oportunitats:

  • Millora de la confiança del consumidor a través de pràctiques més transparents
  • Impuls a la innovació en tecnologies de màrqueting respectuoses amb la privacitat
  • Possibilitat de destacar davant la competència mitjançant pràctiques ètiques i transparents

Conclusió

La Llei de Serveis Digitals representa un canvi de paradigma en el màrqueting digital. Tot i que planteja desafiaments significatius, també ofereix l’oportunitat de construir relacions més sòlides i confiables amb els consumidors. Les empreses que s’adaptin ràpidament a aquest nou entorn, prioritzant la transparència, l’ètica i la innovació, estaran més ben posicionades per tenir èxit en l’era post-DSA.

Està la teva estratègia de màrqueting preparada per a l’era DSA? No esperis més per adaptar les teves pràctiques i assegurar el compliment normatiu. Contacta amb el nostre equip d’experts en dret digital per a una avaluació personalitzada i descobreix com podem ajudar a navegar aquest nou panorama legal mantenint l’efectivitat de les teves campanyes.

Quines mesures de seguretat han d’implementar les empreses en relació a la protecció de dades a Espanya?

per

Les empreses a Espanya han d’implementar diverses mesures de seguretat per complir amb la normativa de protecció de dades i garantir la privacitat de les dades personals.

Repassem les mesures principals:

Implementació de polítiques i normatives de seguretat informàtica: És fonamental per protegir els actius digitals i establir els procediments necessaris per prevenir i mitigar els riscos cibernètics.

Conscienciació i formació en ciberseguretat: La conscienciació i formació són aspectes cabdals per promoure una cultura de seguretat en les organitzacions.

Educació i conscienciació constant: És crucial promoure l’educació en ciberseguretat des de l’inici i fomentar la conscienciació contínua en tots els nivells, no només als directius sinó també als empleats de les organitzacions.

Col·laboració public-privada: La cooperació entre el sector públic i privat és essencial per fer front als desafiaments de seguretat digital, compartint informació, bones pràctiques i recursos per enfortir la protecció.

Adaptació a les noves amenaces: Les organitzacions han d’estar preparades per fer front a les noves i sofisticades formes de ciberatacs, actualitzant constantment els seus sistemes de seguretat i adoptant mesures preventives més sòlides.

Rol de la intel·ligència artificial i altres tecnologies emergents en la protecció de dades: La intel·ligència artificial (IA) i altres tecnologies emergents estan desenvolupant un paper cada vegada més important en la protecció de dades. Cal ser capaç d’aprofitar el seu potencial. Formar-se és una obligació.

Identificació de riscos i anàlisis de bretxes de seguretat: La identificació de riscos i l’ anàlisi de bretxes de seguretat són processos fonamentals en el marc de la normativa de Protecció de Dades, tant per garantir la ciberseguretat com per complir amb els requisits de privacitat.

Notificació de bretxes de seguretat: Recordem que s’ha de notificar qualsevol bretxa de seguretat a l’AEPD en un termini màxim de 72 hores.

Mesures tècniques i organitzatives: Implementar mesures de ciberseguretat com l’ ús de programari de protecció, el xifrat de dades o les polítiques adequades d’ autenticació resulten indispensables per al compliment de la Llei.

Polítiques de seguretat i formació en ciberseguretat: La definició de polítiques de seguretat i la formació en ciberseguretat del personal de forma proactiva són mesures organitzatives previstes per la Llei de Protecció de Dades.

Responsable de protecció de dades: Les empreses amb un gran volum de dades —més de 50.000 registres— i aquelles de qualsevol mida que manegin informació com els centres docents, els sanitaris i les empreses de màrqueting, han de comptar amb un responsable de protecció de dades.

Certificat ISO 27001: La certificació ISO 27001 és una garantia per a la seguretat de les dades personals.

Implementació de sistemes d’ auditoria i monitoratge: La implementació de sistemes d’ auditoria i monitoratge capaços de realitzar un seguiment de les activitats relacionades amb el tractament de dades és una mesura de ciberseguretat prevista per la Llei de Protecció de Dades.4

DPD (Delegat de Protecció de Dades): El DPD és un professional que s’encarrega de garantir el compliment de la normativa de protecció de dades a les empreses.

Esquema Nacional de Seguretat: L’Esquema Nacional de Seguretat és un instrument clau per reforçar les capacitats de defensa davant les ciberamenaces sobre el sector públic i les entitats col·laboradores.

Aquestes mesures de seguretat estan dissenyades per protegir les dades personals i garantir la privacitat dels ciutadans, complint amb la normativa de protecció de dades a Espanya i la normativa europea.

No abaixem la guàrdia. Les dades personals no poden estar en risc. Ens hi juguem molt com a empresa i com a persones.

I com sempre, ¡cuideu-vos!

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

El DNI “i dos ous durs”

per

Recordem la cèlebre frase de Groucho Marx a la pel·lícula “Una noche en la ópera”. En un camarot abarrotat, Groucho fa la comanda de menjar al cambrer i cada vegada afegeix un plat a la llista. Noi, un altre germà, diu: “I també dos ous durs“, i Harpo, el tercer germà mut, fa sonar la botzina per indicar que, en comptes de dos, posi tres ous. I així diverses vegades.

M’he recordat d’aquesta frase en relació a l’Informe 48/2023 de l’Agència de Protecció de Dades del passat setembre, en el qual posa de manifest la decisió de posar fre a la pràctica que les empreses demanin còpies del DNI per identificar els ciutadans per qualsevol qüestió. És un costum arrelat que empreses i Administració demanin tota sort de documentació al ciutadà i a més “també còpia del DNI” (si és possible per les dues cares).

Existeix una tradició heretada de la derogada Llei Orgànica de 1999, que establia com a procediment oficial per a l’exercici de drets l’obligatòria entrega d’una còpia del DNI (o NIE o document equivalent). Aquesta pràctica segueix duent-se a terme sense que ningú se la qüestioni perquè “sempre s’ha fet així” i perquè sembla que ofereixi més seguretat al tràfic jurídic.

En el seu Informe, l’ AEPD considera que l’ ús de DNI pot resultar excessiu o directament innecessari per complir amb la finalitat d’ identificació.

Quins problemes planteja?

El número del DNI no és una dada de categoria especial però sí que és una dada sensible, ja que el seu mal ús o abús pot generar efectes desfavorables per al seu titular.

La suplantació d’identitat és un perjudici molt habitual ja que poden realitzar-se moltes gestions com donar d’alta contractes o comptes corrents, registrar-se en llocs web de pornografia o joc online, fins i tot, demanar un duplicat de la targeta SIM.

I també suposa un repte de seguretat de la informació per a les empreses que realitzen els tractaments perquè han d’emmagatzemar els DNIs, en format analògic o digital, i assegurar la seva transmissió a tercers. Per a companyies que manegen cents de milers de documents, fins i tot de milions, a l’any, no és un problema menor. Una bretxa de seguretat en aquests casos pot ser devastadora per a la seva reputació, sancions al marge.

Què és el principi de minimització?

Està consagrat a l’article 5.1.c) “Les dades personals seran adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades («minimització de dades»). És a dir, només podem tractar com a responsable únicament aquelles dades que són estrictament necessàries per a la finalitat perseguida.

Què diu l’Agència?

L’ Agència parteix de recordar el principi de responsabilitat proactiva, que recull el RGPD, de manera que cada responsable haurà de valorar els casos d’ ús concrets que se li presentin, i fer judicis de ponderació si fos necessari, i veure si és procedent o no demanar el DNI o tractar el número o guardar una còpia per als seus registres. I, si cal demanar-ho, quines mesures de protecció especial s’han d’aplicar.

I en l’Informe, l’Agència exposa uns criteris generals com que la sol·licitud del número o còpia del DNI no es pot instaurar per defecte i que cal analitzar cada supòsit concret.

I tampoc es pot demanar una còpia del DNI per a l’ exercici de drets per part de l’ interessat.

Com en tot, hi ha excepcions. Per exemple, es pot demanar el DNI per complir amb la normativa en les activitats de prevenció del blanqueig de capitals i el finançament del terrorisme perquè la llei l’empara.

Sancions

Les sancions són cada vegada més freqüents i d’ import més elevat. Missatgeria (per fotografiar el DNI), hotels i plataformes com AirBnb (per demanar còpia per fer la reserva), entitats bancàries per demanar el DNI per fer un tràmit i, fins i tot, una sanció de 300.000 € a una empresa de selecció de personal per vulnerar l’article 5.1.c) del RGPD (minimització de dades) i una infracció de l’article 12 RGPD en l’àmbit de l’exercici dels drets de l’interessat.

Solucions

No hi ha una solució única. Cada responsable haurà de revisar els seus casos d’ús i veure quines dades necessita i recollir només aquestes. O, si necessita la còpia del DNI, justificar-ho.

I veure si hi ha alternatives menys costoses per a l’usuari.

Hi ha al mercat solucions tècniques que permeten, per exemple, escanejar un document apantallant (ofuscant, excloent, pixelant la imatge, etc.) determinats camps el que permet guardar només aquells estrictament necessaris.

O enviar codis alfanumèrics al telèfon mòbil que permetrà la identificació de l’usuari.

Conclusions

La pràctica de demanar el DNI per a tot ha de decaure. I s’ha de fer un esforç per part de tothom perquè s’escometi la reforma dels sistemes de les empreses al més aviat possible. I prendre mesures també encausat, dels quals parlarem un altre dia. Com sempre, cuideu-vos!

Espanya, un pas endavant en la supervisió de la Intel·ligència Artificial

per

En efecte, l’Agència Espanyola d’Intel·ligència Artificial (AESIA) començarà a funcionar en un termini màxim de tres mesos. A finals d’agost, el Consell de Ministres va aprovar l’Estatut d’aquest organisme, que s’adscriu al Ministeri d’Assumptes Econòmics i Transformació Digital. Espanya es converteix així en el primer país europeu en tenir un òrgan d’aquestes característiques. Però comencen per el principi.

Què és la intel·ligència artificial?

La intel·ligència artificial (IA) és un subcamp de la informàtica que busca crear sistemes capaços de realitzar tasques que requereixen intel·ligència humana. Aquestes tasques poden incloure, però no es limiten a, la comprensió del llenguatge natural, la percepció visual, la presa de decisions, la resolució de problemes i l’aprenentatge a partir de dades o experiències anteriors.

La IA es basa en diferents tècniques i teories, incloent-hi els algoritmes de cerca, la lògica, el reconeixement de patrons, l’aprenentatge automàtic, les xarxes neuronals, la robòtica, entre d’altres.

Què és la intel·ligència artificial generativa?

I com tot avança a tota velocitat, ara ja disposem de IA generativa. La intel·ligència artificial generativa es refereix a sistemes d’IA que poden generar contingut nou que no ha estat prèviament vist. En lloc de simplement analitzar dades i extreure’n informació (com ho faria un sistema d’IA “discriminatiu”), els sistemes generatius poden crear dades que semblen noves i originals.

Això fa que els problemes que planteja la IA és multipliquin.

Perquè necessitem regular la IA?

Les raons són múltiples. Podem citar-ne unes quantes com conductes d’ètica dubtosa que afectin a la privacitat dels individus, raons de seguretat si la IA es fa servir per atacar sistemes de ciberseguretat, opacitat dels algoritmes que amaga com es prenen les decisions, biaix en la presa de decisions que afecti a la igualtat de les persones, responsabilitat en cas de decisions errònies preses per la IA, estimular la innovació cap a direccions positives per la societat, fer aportacions decisives en el camp econòmic i laboral si la IA està ben orientada, protegir el consumidor o, per últim, per coordinar la nostra regulació amb la d’altres països, a la manera, per exemple, com s’ha fet amb la protecció de dades a Europa.

La clau és trobar un equilibri entre protegir la societat i els drets individuals sense frenar la innovació i el desenvolupament tecnològic.

Quin pas ha donat Espanya?

El Govern ha explicat que aquesta estratègia inclou diferents plans estratègics, entre ells l’Estratègia Nacional d’Intel·ligència Artificial (ENIA) , que té com a objectiu donar un marc de referència per al desenvolupament d’una intel·ligència artificial “inclusiva, sostenible i centrada en la ciutadania”.

L’Estratègia forma part del Pla de Recuperació, Transformació i Resiliència (PRTR) , que pretén situar Espanya com a país capdavanter en intel·ligència artificial (IA). L’AESIA s’adscriu al Ministeri d’Afers Econòmics i Transformació Digital mitjançant la Secretaria d’Estat de Digitalització i Intel·ligència Artificial.

Amb la creació d’aquesta agència, Espanya es converteix en el primer país europeu que té un òrgan d’aquestes característiques i s’anticipa a l’entrada en vigor del Reglament europeu d’intel·ligència artificial.

La figura del DPD en la aplicació de la IA

El Delegat de Protecció de Dades, professional que revisa el compliment de la normativa de privacitat a les empreses i organismes, és la figura idònia per supervisar la utilització de la IA. Com diu l’AEPD, “el DPD, fins i tot en els casos que no sigui obligatori, pot ser de gran utilitat en aquelles entitats que empren solucions basades en IA i que tracten dades personals, o  que desenvolupen solucions d’IA que fan ús de dades personals per a l’entrenament dels models. A tenir-ho present.

Conclusions

El món de la IA, tant apassionant com ple de perills i incerteses, ha irromput amb força en la nostra societat. I encara només hem vist el principi. Si som capaços de fer-la nostra, tot minimitzant les desavantatges i potenciant les avantatges per tots, no per uns quants, estic convençut que estem davant del que els americans en diuen un ”game changer”.  Molt disruptiu, potser, fins i tot, superant l’eclosió d’Internet. Veruem.

 

Mentrestant, cuideu-vos!

L’Espai Europeu de Dades Sanitàries (EHDS): un immens repte per a la privacitat

per

Introducció:

Diuen que el camí a l’infern està empedrat de bones intencions. El passat maig del 2022, la Comissió Europea va presentar una proposta de regulació sobre el denominat Espai Europeu de Dades Sanitàries. La proposta va ser motivada pel descobriment d’un alt grau de fragmentació, disparitats i dificultats en l’accés i l’ús de dades sanitàries electròniques en els Estats membres de la Unió Europea. De fet, les accions dels Estats membres en aquest àmbit s’han demostrat clarament insuficients. La pandèmia va fer saltar totes les costures.

Els problemes

Ara mateix, els usuaris tenim dificultats per exercir els nostres drets sobre les dades electròniques de salut, incloent-hi l’accés i la transferència, tant a nivell nacional com transfronterers. Per exemple, encara que tinguem les dades en digital, els usuaris no estem en disposició de donar accés o permetre’l a les nostres dades a diferents proveïdors de salut.

Avui en dia, hi ha diferències significatives en l’aplicació de regles a través dels Estats membres per la manca de pautes i recomanacions. I això és el que pretén millorar la Unió Europea.

Les bones intencions

Doncs la Comissió Europea te intenció de definit estàndards i practiques comuns per crear la necessària infraestructura i certificacions per establir un marc de governança comú per l’ús compartit de dades electròniques de salut.

Això permetrà un major control dels individus sobre les seves dades, facilitant l’accés i la compartició amb els professionals sanitaris. I d’altre banda, facilitarà la feina d’aquest professionals permetent l’accés a la història mèdica del pacient, incrementant la base de coneixement per prendre més decisions sobre el diagnòstic i el tractament dels pacients.

Els reptes (o perills)

Milions de dades de salut, que recordem són de categoria especial, gestionats per pacients i professionals de la sanitat suposen un repte gegantí per una UE compromesa, unida i sense fissures, amb la protecció de dades.

I, quins són aquest reptes? Repassem-ne els principals.

Requerir el consentiment del pacient per compartir les dades de salut. I com be recull el Reglament, el consentiment ha de ser explícit, inequívoc, que reflecteixi una manifestació lliure, informada d’acceptar el tractament de dades que li concerneixen. I el dret de retirar el consentiment en qualsevol moment. No sembla que la UE ho tingui molt clar. Més aviat el contrari.

Limitar la definició de dades de salut. Ara mateix, el text defineix com “dades de salut” un ampli ventall de 15 categories que van molt més enllà del què entenem, estrictament parlant, per informació sobre la salut o l’atenció mèdica dels pacients. Alguns exemples de dades proposades com de “salut”: assegurança, estatus professional, educació, consum de substàncies, benestar, comportament, estil de vida, … Clarament excessiu, al meu parer.

Fer que les finalitats permeses per a l’ús de les dades siguin precises i legítimes

La llista de finalitats permeses del tractament de dades de salut és massa llarga i massa inconcreta: per exemple, els governs poden donar accés a qualsevol tercer que consideri convenient per garantir “alts nivells de qualitat i seguretat sanitària i de medicaments o dispositius mèdics”. El redactat sembla fet per una empresa farmacèutica.

La seguretat de les dades ha de ser la màxima prioritat

Una obvietat però no per això ho deixarem de dir-ho. Dades sensibles de més de 450 milions d’europeus en centres de dades centralitzats, és un pastís massa llaminer per els ciberdelinqüents. El valor en el mercat negre d’aquestes dades en el mercat negre és incalculable. El dany que pot provocar un ciberatac, també. El recent episodi del Clínic de Barcelona n’és un exemple.

Conclusions

Les avantatges de la iniciativa són evidents. Els perills, també. Si a aquest escenari li afegim Intel·ligència Artificial o Big Data, tenim servit el còctel explosiu. I parlem no tan sols del primer ús de les dades (l’assistència sanitària) sinó també de l’ús secundari, aquell que permet transferir dades a organismes, industries, investigadors, reguladors, etc. per tal de millorar la atenció sanitària, la investigació, la innovació i les polítiques.

Veurem. De moment, cuideu-vos perquè si no ho fem nosaltres, no sé si ho farà ningú!

A la tercera, va la vençuda?

per

L’Acord Transatlàntic de Protecció de Dades (ATP) és un nou marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord va ser anunciat el febrer del 2021, després de mesos de negociacions, i busca proporcionar un marc actualitzat i més sòlid per a la transferència de dades personals.

L’ Acord

L’ ATP es basa en un conjunt de normes i compromisos que els proveïdors de serveis han de complir per garantir que les dades personals siguin tractades de manera justa i transparent. Aquestes normes inclouen l ‘ obligació dels proveïdors de serveis de proporcionar informació clara i concisa sobre com s’ utilitzaran les dades personals, així com el dret dels individus a accedir i rectificar les seves dades personals.

L’ATP també estableix una sèrie de controls i mesures de seguretat per protegir les dades personals dels ciutadans europeus. Aquestes mesures inclouen l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, així com l’ obligació de notificar a les autoritats pertinents en cas d’ una violació de dades.

A més, l’ATP se centra en la supervisió i el compliment. L’ ATP estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses que no compleixin amb els requisits de l’ ATP s’ enfrontaran a sancions i mesures disciplinàries.

Una de les principals diferències entre l’ATP i els seus predecessors és que l’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals. Aquests compromisos inclouen la promesa que les autoritats dels Estats Units només podran accedir a les dades personals dels ciutadans europeus en casos específics i limitats, i només si s’han esgotat altres opcions. A més, el govern dels Estats Units s’ha compromès a crear un mecanisme de recurs independent perquè els ciutadans europeus puguin presentar queixes i buscar reparació en cas que es produeixin violacions de dades.

La falta d’ acord anterior

L’acord anterior, Privacy Shield (Escut de Privacitat), va ser dissenyat per proporcionar un marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord es basava en una sèrie de compromisos i garanties per part del govern dels Estats Units en relació amb la protecció de dades personals.

No obstant això, el juliol del 2020, el Tribunal de Justícia de la Unió Europea (TJUE) va declarar la invalidesa del Privacy Shield, argumentant que el marc no garantia adequadament la protecció de les dades personals dels ciutadans europeus en mans de les empreses estatunidenques.

La decisió va ser rebuda amb preocupació per les empreses que depenen de la transferència de dades entre Europa i Estats Units per dur a terme les seves operacions. Les empreses que no van poder complir amb els requisits de Privacy Shield es van veure obligades a suspendre o restringir les seves operacions a Europa.

L’ impacte en les empreses

L’impacte més obvi de l’ATP a les empreses és que hauran de complir amb nous requisits en relació amb la protecció de dades personals. Això pot implicar la revisió i actualització de les polítiques i pràctiques de privacitat, la implementació de noves mesures de seguretat, la contractació de personal addicional i l’ adopció de noves tecnologies per garantir el compliment de l’ ATP.

Les empreses també hauran de garantir que les mesures de seguretat tècniques i organitzatives que implementen per protegir les dades personals siguin adequades i eficaces. L’ ATP estableix l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, i això significa que les empreses hauran de revisar i actualitzar les seves mesures de seguretat per garantir que siguin suficients per protegir les dades personals.

L‘ATP també estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses hauran d’ assegurar-se que estan complint amb els requisits de l’ ATP i estar preparades per enfrontar sancions i mesures disciplinàries si no ho fan.

Un altre impacte important de l’ATP és que les empreses hauran de parar atenció als canvis en la regulació i les pràctiques de privacitat a Europa i Estats Units. L’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals, i això significa que qualsevol canvi en la regulació o les pràctiques de privacitat als Estats Units pot tenir un impacte en el compliment de l’ATP.

A més, l’ATP pot tenir un impacte en la reputació i la confiança de l’empresa. Els clients i els consumidors poden valorar cada vegada més la privacitat i la seguretat de les dades personals, i les empreses que no compleixin amb els requisits de l’ATP poden enfrontar crítiques i pèrdua de confiança per part dels seus clients i consumidors.

No obstant això, també hi ha alguns beneficis per a les empreses que compleixen amb els requisits de l’ATP. Per exemple, el compliment de l’ATP pot millorar la protecció de les dades personals i reduir el risc de violacions de dades, cosa que pot tenir un impacte positiu en la reputació de l’empresa i en la confiança dels clients i consumidors.

A més, el compliment de l’ATP pot ajudar les empreses a complir amb altres regulacions i estàndards de privacitat a tot el món. Molts països i regions tenen lleis i regulacions de privacitat similars a l’ATP.

En Resum

L’Acord no és ferm encara i potser passin mesos fins que es ratifiqui. Mentrestant, empreses com Meta ja han amenaçat de suspendre les seves transferències. Tenint en compte que Facebook, Instagram o Whatsapp pertanyen al grup, l’impacte per a usuaris, empreses i anunciants pot ser, en termes socials, econòmics i fins a polítics, d’una magnitud molt difícil de preveure.

En qualsevol cas, ¡cuideu les vostres transferències internacionals i cuideu-vos vosaltres!

MWC23, reconeixement facial i inquietuds de privacitat

per

No és cap secret que la tecnologia ens pot facilitar molt la vida a les persones. Per exemple, a l’hora entrar en el Mobile World Congress 2023. Arribes a l’entrada al mateix moment que uns altres centenars de ciutadans i la primera preocupació és imaginar-nos una hora fent cua en els mostradors d’acreditació. Però no, la primera agradable sorpresa és que no hi ha cua. Literal. Si has fet els deures i disposes del teu passi d’accés digital, pots entrar sense aturar-te mitjançant la tecnologia de reconeixement facial. Voilà!

Què es el MWC23?

Segons l’organització, el MWC és l’esdeveniment de connectivitat més gran i influent. I estic segur que ho és. Si, segons la RAE, la pornografia és la presentació oberta i crua del sexe que busca produir excitació en el receptor, podem qualificar l’espectacle del Congrés com de tecnogràfic. Busca provocar l’excitació en l’espectador a base de presentar-li oberta i cruament les més avançades tecnologies. I s’ha convertit en una orgia desenfrenada de llum, de color, d’imatges de proporcions gegantines, de sons, comunicacions, espectacles, relacions professionals, negoci i dades. Sobretot, dades. Desmesurades com a poc.

La qüestió

És molt simple. Hem de respondre a la pregunta següent: a canvi de què estem disposats a cedir, i en quina part, la sobirania de les nostres dades, la nostra sobirania digital.  

La nostra imatge en milers de fotografies, centenars de càmeres de vigilància o, fins i tot, en selfies fets en l’estand de Samsung. Les nostres dades, fins i tot biomètriques, escampades per centenars d’empreses que les faran servir, legítimament, per múltiples propòsits. Tot impulsat per les últimes tecnologies: Big Data, Intel·ligència Artificial, Machine learning, … de les quals encara no tenim una idea clara del seu abast. Fa feredat!

Política de Privacitat del MWC: que aixequi la mà qui l’hagi llegit.

Sí, s’han de llegir, com tot. I, com tot, no és llegeixen. Vagi per endavant que la Política de Privacitat compleix amb tots els requisits que imposa el RGPD. I sorteja força bé totes les dificultats que es presenten per regular l’ús de tantes dades i de naturalesa tant variada. Podríem posar-les, fins i tot, com a model per altres organitzacions.

Això no treu que si parem en algunes de les clàusules, aquestes resulten esglaiadores. Per exemple, la quantitat de dades que proporcionem voluntàriament (incloses les biomètriques del reconeixement facial), les informacions que es recullen automàticament i les que proporcionen terceres parts (a qui hem proporcionat voluntàriament la informació).

Passem després a veure amb qui comparteixen la informació i veiem que ho fan amb empreses afiliades, agents, venedors o proveïdors de serveis, compradors potencials i per imperatiu legal. I a més, amb qualsevol altre persona quan haguem consentit la divulgació.

I pel que fa la transferència internacional de dades (fora de l’Àrea Econòmica Europea, Suïssa i UK), les nostres dades biomètriques estan gestionades per una empresa amb base a Hong-Kong. I si es transfereixen a altres països no adequats, es fa amb el suport de Clàusules Contractuals Tipus aprovades per la Comissió Europea.

En fi, moltes parts mòbils (no és un acudit) en l’esquema. Moltes dades, de moltes persones i que gestionen moltes empreses en una varietat de circumstàncies. Definitivament, molt complex.

Val a dir, també, que ens ofereixen moltes maneres de controlar la nostra informació. Repeteixo, tot conforme a llei. I aquesta Política de Privacitat pot servir de model per altres texts de privacitat.

Què podem fer?

Doncs preocupar-nos nosaltres mateixos per la nostra privacitat. Està bé que les empreses se’n preocupin, és la seva obligació, però nosaltres no podem defugir de la nostra. La privacitat, ben entesa, comença per un mateix (com deia un vell anunci). I la nostra privacitat ha de ser activa, militant, disposats a defensar-la en qualsevol circumstància. No podem tenir cap expectativa de privacitat si nosaltres no som molt respectuosos amb ella. No pot ser d’altre manera.

I per passar a l’acció, el primer que necessitem és saber què sap Internet de nosaltres. Això ho podem fer gràcies al nostre Servei d’Empremta Digital recolzats per el nostre partner Youforget.me. A partir d’aquí, us ajudarem a reprendre allò que mai havíem d’haver perdut: la sobirania de les nostres dades.

De petit, els meus pares sempre m’advertien que no acceptés mai caramels de desconeguts. I ara, de gran, no faig una altre cosa tot el dia. Cuideu la vostra privacitat!

A més de l’affaire Shakira-Piqué, al món passen més coses

per

Per exemple, demà celebrem el Dia Europeu de la Protecció de Dades. El 2022 ha estat de gran activitat legislativa que afectarà a les empreses en aquesta matèria ja en aquest 2023. En recordarem les principals i apuntarem alguns detalls.

En ple tsunami de la intel·ligència artificial –amb ChaptGPT com a màxim exponent– he tingut la temptació d’escriure aquest post fent servir aquesta eina que ara està de moda. No ho he fet, naturalment, per moltes raons. Digueu-n’hi  ètica, dignitat o vergonya professional. Però l’important es entendre que aquesta tecnologia, com altres, tindrà un impacte enorme en la nostra societat. I que la Protecció de Dades pren un paper molt destacat en defensa de la nostra privacitat. I, com es diu habitualment, és cosa de tots.

Podem posar alguns exemples. Microsoft treu al mercat VALL-E, una IA com ChatGPT que imita la teva veu escoltant-te tant sols durant 3 segons. Imita la veu, la cadència, fins i tot, l’ambient. I per fer-ho fàcil (i per intentar augmentar quota), Microsoft vol integrar aquestes eines en el seu cercador Bing. I, és clar, això ha posat dels nervis a Google.

Sigui com sigui, està clar que les tecnologies avancen de forma exponencial i, cada dia més, tenen un fort impacte en la nostra privacitat. Per això tots, –administracions, legisladors, operadors jurídics, empreses i, per descomptat, els usuaris– hem de fer un esforç permanent perquè aquest nivell de protecció aconseguit amb el RGPD no tan sols es mantingui, si no que vagi a més.

Avenços normatius

Aquest 2022, el legislador ens ha ajudat aprovant una sèrie de mesures, totes encaminades a aconseguir, al menys intentar-ho, anar a la par amb les tecnologies. Recordem les següents:

  • Llei Europea d’Intel·ligència Artificial (aplicable a tots els usos que afectin a ciutadans de la UE).
  • Llei de Mercats Digitals i la Llei de Serveis Digitals (la primera, per vigilar a les grans plataformes digitals (“gatekeepers”) i la segona, per crear un entorn online més segur i responsable).
  • Nou acord de protecció de dades entre Europa i EEUU (per substituir el Privacy Shield).
  • Directiva NIS 2 (mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la UE).
  • Proposta de Reglament de Ciberseguretat en productes amb elements digitals (per establir requisits de ciberseguretat en tota la UE per una amplia gama de productes de software, hardware, navegadors, sistemes operatius i una llarga llista de solucions de processament de dades en remot).

Totes les iniciatives són molt interessants i van encaminades a la protecció dels usuaris online. En propers posts entrarem en més detall en cadascuna de les normatives.

Recomanacions

Com dèiem al principi, la protecció de dades és cosa de tots. Nostra, també. Per tant, demà 28 de gener, és un bon moment per revisar totes les nostres rutines de protecció i seguretat. I, si necessitem ajuda, INCIBE.

Com sempre, cuideu-vos i cuidem les nostres dades!

Ciberseguretat, sempre la ciberseguretat!

per

N’hem parlat moltes vegades però no ens cansarem en insistir en la importància creixent que té la ciberseguretat en les nostres vides, personals i professionals. Hem de ser conscients que la tecnologia evoluciona molt ràpidament i nosaltres hem de seguir aquesta evolució si volem seguir ser competitius en el món professional i estar tranquils en l’esfera personal.

I no, la ciberseguretat no és una cosa que no té a veure amb mi o amb la meva empresa. Té a veure i molt. Només cal donar-se una volta per pàgines com el PortalTIC d’Europa Press o per els Avisos de Seguretat d’INCIBE. I si voleu impressions més fortes podeu veure el Mapa en temps real d’amenaces cibernètiques de Kaspersky. En el moment d’escriure aquest post, Espanya era el vuitè país més atacat del món.

I no s’escapa res a la voracitat dels ciberatacants. Estafes a compte de la guerra d’Ucraïna, campanyes fraudulentes a Whatsapp que demanen dades personals a canvi d’una cafetera Nespresso o, fins i tot, venda d’historials mèdics a la Dark Web per un euro. I podem afegir notícies més genèriques per igualment impactants com que més de tres milions de pàgines web van exposar les seves còpies de seguretat per una vulnerabilitat, que els atacs DDos es van multiplicar per 4,5 en el quart trimestre de 2021 o que 6 de cada 10 espanyols tenen “malware” en el seu ordinador.

Naturalment, és per prendre-s’ho seriosament. Tant si volem preservar els actius intangibles de l’empresa (que són més i més importants del que pensem) com si volem tenir una vida personal sense ensurts (un altre dia parlarem de la privacitat a les xarxes socials) hem de prendre mesures i no baixar la guàrdia. Mai.

I la pregunta recorrent, en empreses i a nivell personal, és, què hem de fer? Doncs per començar, conscienciar-nos de la importància de la ciberseguretat. I podem fer un símil molt familiar amb la conducció d’un automòbil. Pensem en el temps, diners i atenció que li dediquem al vehicle i als desplaçaments que fem. Des de l’elecció del model i les seves prestacions fins a les revisions periòdiques, passant per disposar d’assegurança, complir la normativa, preveure la meteorologia i el temps a emplear en els desplaçaments i tantes altres variables que controlem, moltes vegades i per rutina, sense ser-ne plenament conscients.

Doncs el mateix amb els nostres dispositius, les aplicacions, l’ús que en fem, les precaucions que prenem i, en definitiva, l’atenció que li prestem a la nostra activitat cibernètica. I, sobretot, vigilem als menors que són els més vulnerables.

Un bon lloc per començar és la pàgina “Tu Ayuda en Ciberseguridad” de INCIBE. I per qui tingui dubtes sobre el significat del termes informàtics que es fan servir sovint en Ciberseguretat, podeu acudir al Glossari de termes publicat per INCIBE. Mol complet i fàcil de consultar. Recomanable.

Esforcem-nos, per bé de tots, en tenir una vida cibersegura. Cuideu-vos també en aquest aspecte!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web