Seguridad de la Información

7.1. Fundamentos y estándares de Seguridad de la Información.
7.2. El binomio seguridad de la información como obligación legal y seguridad de la información como buenas prácticas.
7.3. Visión práctica de la auditoría de sistemas de información. El perfil profesional de auditor de sistemas de información.
7.4. Sistemas de Gestión de la Seguridad de la Información (SGSI): ISO 27001: 2013.
7.5. Auditoría y perfil jurídico: métodos de trabajo de auditoría de seguridad aplicada a las obligaciones legales de auditar sistemas de información.

DNI per WhatsApp: Demanar la foto del DNI acaba en multa

per

El 5 de febrer de 2025, l’AEPD va imposar una sanció de 2.000€ a un allotjament turístic per sol·licitar l’enviament del DNI per WhatsApp

Fets

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un procediment sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. per exigir als seus clients l’enviament d’imatges completes del DNI (incloent menors) a través de WhatsApp, sense informar sobre el tractament. L’empresa va al·legar complir amb el Reial decret 933/2021 sobre registre d’hostes. No obstant això, l’AEPD va determinar que la seva pràctica excedia els requisits legals.

En primer lloc, l’exigència d’aportar la imatge completa del DNI era desproporcionada, perquè es recollia informació innecessària com el rostre, el número d’expedició o els noms de progenitors. Això va en contra del principi que exigeix limitar les dades al «adequat,pertinent i estrictament necessari» (art. 5.1.c) RGPD). 

A més, cal recordar que el RD 933/2021 només requereix dades textuals bàsiques (nom, cognoms, número de document), no còpies del document.

Així mateix, l’AEPD va subratllar que, tot i que el lloguer turístic està subjecte a obligacions de registre, (art. 4.3 RD 933/2021), «ha de complir-se sense necessitat de sol·licitar el lliurament de còpia o imatge del document d’identitat o escaneig d’aquest, perquè existeixen altres alternatives igualment vàlides que permeten realitzar aquesta comprovació de manera fiable.» És a dir, verificar la identitat no equival a emmagatzemar còpies del DNI, perquè amb mètodes menys invasius, com la transcripció manual de dades, es podria haver complert l’obligació de registre perfectament.

D’altra banda, el mètode d’enviament de la imatge del DNI sol·licitat era WhatsApp, per la qual cosa sorgeix un risc afegit, perquè aquesta xarxa social manca de xifratge i no es considera una via segura a través de la qual enviar dades tan sensibles com els continguts en el DNI.

Per tot l’exposat, l’AEPD va decidir imposar una sanció de 2.000€ que, amb el reconeixement de responsabilitat i el pagament voluntari per part de RESIDENTIAL QUALITY ENJOY, S.L., va quedar reduïda a 1.200€.

Conclusió

Aquesta resolució recorda a les empreses que no poden utilitzar la «seguretat» com a excusa per a recopilar dades excessives, perquè la imatge completa del DNI conté informació sensible irrellevant per al registre d’hostes.

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, fes clic aquí.

DNI vs RGPD: La prima línia entre identificació legal i vulneració de dades

per

El Document Nacional d’Identitat (DNI) no està classificat com a dada de categoria especial sota el RGPD (no inclou informació sobre salut, origen ètnic o orientació sexual). No obstant això, el seu tractament genera un debat legal i pràctic pel seu potencial per identificar inequívocament una persona i el seu ús massiu en processos empresarials. D’ altra banda, les estafes, les suplantacions d’ identitat i els perjudicis econòmics derivats de les dues situacions anteriors estan a l’ ordre del dia, per la qual cosa realment es tracta d’ una dada d’ un risc i rellevància vital.

L‘Agència Espanyola de Protecció de Dades (AEPD) s’ha pronunciat al respecte i indica que el DNI conté dades especialment sensibles i susceptibles d’un mal ús, sobretot amb la seva recopilació o emmagatzematge indegut, atès que un tercer que tingui accés a aquests pot suplantar la identitat del titular del DNI amb total facilitat i perpetrar conductes que suposin un alt risc per a la privacitat,  l’ honor i el patrimoni del suplantat.

Així ho ha reflectit en sancionar amb 100.000€ una companyia per sol·licitar una fotocòpia del DNI per correu electrònic per acreditar la identitat d’una persona sense informar adequadament sobre el tractament de les seves dades (article 13. RGPD) i sense complir amb les mesures de seguretat adequades.

En aquest cas, l’AEPD qüestiona l’enviament del DNI per correu electrònic, ja que no ho considera una via segura per a la transmissió d’unes dades tan sensibles com les que figuren en el DNI.

Per la seva banda, la reclamada no va presentar l’anàlisi de riscos ni tenia implementades mesures de seguretat adequades per garantir que l’enviament d’aquesta informació fos segur, per la qual cosa l’AEPD ha decidit sancionar-la amb 50.000€ per l’absència de mesures de seguretat i altres 50.000€ per no facilitar informació sobre el tractament.

Conclusió

L’AEPD ha enviat un missatge contundent: gestionar el DNI amb negligència no només vulnera la privacitat, sinó que obre la porta a conseqüències legals i econòmiques. La pròxima vegada que sol·licites una còpia del DNI, recorda: identificar no és sinònim d’exposar.

Per llegir la resolució, feu clic aquí.

Com sempre, cuida les dades i ¡cuideu-vos!

Dia de la Protecció de Dades 2025: Protegint La nostra Privacitat a l’Era Digital

per

El 26 d’abril de 2006, el Consell d’Europa va decidir fixar el 28 de gener com el Dia de la Protecció de Dades, atès que va ser el 28 de gener de 1981 quan es va signar el Conveni per a la protecció de les persones pel que fa al tractament automatitzat de dades de caràcter personal (Conveni 108),  primer instrument jurídic internacional vinculant per protegir la privacitat en l’era digital.

Aquesta data ens hauria de recordar la importància de salvaguardar la nostra informació personal en un món cada vegada més connectat. Enguany, la commemoració adquireix especial rellevància davant els desafiaments i avenços en matèria de privacitat digital, en especial, en àrees com la Intel·ligència Artificial i neurociència.

Desafiaments que afrontar el 2025

El 2024 ha estat un any definitivament ple de decisions regulatòries i judicials que han transformat l’àmbit de la privacitat de les dades. Hem vist sancions a Meta, LinkedIn, Uniqlo, OpenAI, Netflix i altres empreses conegudes que mostren les conseqüències de la falta d’alineació amb el RGPD.

Així mateix, també hem viscut l’entrada en vigor del Reglament d’Intel·ligència Artificial, la qual és la primera llei a introduir certes directrius en relació amb l’ús d’aquestes tecnologies avançades.

Aquests successos evidencien la transformació digital que estem vivint i la necessitat d’imposar la privacitat de les nostres dades com una prioritat legal.

Aquest nou any planteja nous reptes per a les empreses, les quals s’han d’ajustar a normatives més estrictes en aquesta matèria, així com establir mesures de seguretat per protegir-se de les amenaces cibernètiques.

  • Reglament de Cibersolidaritat: aprovat el 19 de desembre de 2024 i amb efectes el febrer de 2025, preveu els mecanismes que ha de disposar la UE per augmentar la seva resiliència i la seva capacitat de reacció en cas de rebre ciberamenaces.
    Els seus objectius se centren en: donar suport a la detecció i la consciència d’amenaces i incidents de ciberseguretat significatius; reforçar la solidaritat a escala de la UE, gestionar de forma concertada les crisis i la capacitat de resposta a tots els Estats membres; i contribuir a garantir un entorn digital segur i protegit per als ciutadans i les empreses.
  • Llei de Resiliència Cibernètica (CRA, per les seves sigles en anglès): aprovada el 12 de març de 2024 i aplicable per complet a partir de l’11 de desembre de 2027, és la primera legislació que estableix requisits de ciberseguretat als productes digitals al llarg del seu cicle de vida. Les empreses s’ han de preparar ja per complir amb els nous requisits. Entre les seves especificacions, es troben: requisits de ciberseguretat obligatoris, actualitzacions contínues per corregir les vulnerabilitats, notificació obligatòria de vulnerabilitats, supervisió de mercat i transparència per als consumidors.

Aquesta normativa (que complementa la NIS-2) s’aplica a tots els fabricants de productes digitals, independentment de si tenen base a la UE o fora d’ella, sempre que ofereixin productes al mercat europeu; afecta fabricants de maquinari, desenvolupadors de programari, distribuïdors i importadors.

  • Directiva NIS-2: Va entrar en vigor el 16 de gener de 2023 i aplicable des de finals de 2024, s’espera establir la llista d’entitats essencials i importants com a màxim fins al 17 d’abril de 2025. Aquesta norma revisa i amplia la Directiva NIS-1 de 2016, atès que aquesta ha quedat obsoleta en el context actual en què els incidents de ciberseguretat han anat in crescendo.
    Estableix obligacions en matèria de ciberseguretat per impulsar un nivell de ciberseguretat adequat i comú i busca protegir la infraestructura digital als Estats membres i harmonitzar els requisits de ciberseguretat a nivell europeu. Els seus àmbits d’intervenció són els següents: exigència d ‘alts nivells de seguretat als Estats membres, creació d’un Grup de Cooperació entre Estats membres, obligacions de ciberseguretat a empreses públiques i privades en sectors «essencials» i «importants».
    A Espanya, s’ha aprovat recentment l ‘Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, la qual transposa a l’ordenament jurídic espanyol la Directiva NIS-2. Aquest avantprojecte dissenya l ‘Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, que s’encarregarà de la gestió de les crisis de ciberseguretat.
  • Reglament DORA (Digital Operational Resilience Act): va entrar en vigor el 16 de gener de 2023 però es va establir un període de dos anys per desplegar els seus efectes per complet. S’ aplica a totes les entitats financeres de la UE i busca crear un marc jurídic comú per a la gestió dels riscos digitals en el sector financer.
    A causa de l’augment global d’atacs cibernètics, es vol aconseguir la ciberresiliència en les entitats financeres per garantir l’estabilitat financera al continent, per la qual cosa els seus objectius se centren en: gestió de riscos en els sistemes, classificació i notificació d’incidents en ciberseguretat, proves de resiliència operativa digital, normativa per a l’intercanvi d’informació segura,  entre d’ altres. 
  • Reglament de Dades de la UE: va entrar en vigor l’11 de gener de 2024 però serà aplicable a partir del 12 de setembre de 2025. Deriva de la necessitat que desperta l’auge de l’Internet de les Coses (IoT) i complementa el Reglament de Governança de Dades. Amb aquesta llei, els preus dels serveis postvenda i la reparació dels dispositius intel·ligents seran més baixos; hi haurà noves oportunitats per utilitzar serveis basats en l’accés a les dades; i s’establirà un millor accés a les dades recollides o produïdes per un dispositiu.

  • Reglament d’Intel·ligència Artificial: va entrar en vigor l’1 d’agost de 2024 i és la primera norma del món que regula la Intel·ligència Artificial. Desplega efectes per complet el 2 d’agost de 2026; no obstant això, algunes disposicions seran aplicables a partir del 2025. Per això, les empreses s’ han de preparar per ajustar-se a la normativa com més aviat millor.
    Aquesta norma prohibeix certes aplicacions d’IA que afecten els drets fonamentals com els sistemes de categorització biomètrica, reconeixement facial, d’ emocions
    A més, estableix obligacions per promoure l ‘ alfabetització en IA, requisits de gestió de riscos i transparència i estructures de governança.

Com protegir les teves dades

En honor al dia d’avui, et recomanem el següent per poder protegir les teves dades:

  • Utilitza contrasenyes robustes i autenticació de dos factors.
  • Manté els teus dispositius i programari actualitzats.
  • Evita compartir informació sensible en xarxes públiques.
  • Sé cautelós amb els permisos que atorgues a les aplicacions.
  • Realitza còpies de seguretat de forma regular.

Per a les empreses

Les organitzacions han de:

  • Implementar polítiques de protecció de dades sòlides.
  • Formar els seus empleats en matèria de privacitat i seguretat. Invertir en formació en aquest àmbit pot prevenir de bretxes de seguretat o errors humans.
  • Designar un Delegat de Protecció de Dades quan sigui necessari.
  • Realitzar auditories periòdiques de compliment.

Recordem que la protecció de dades no és només una obligació legal, sinó una responsabilitat compartida que ens beneficia a tots.
Aquest Dia de la Protecció de Dades prenguem consciència i actuem per salvaguardar la nostra privacitat en el món digital.

Com sempre, cuideu les dades i cuideu-vos!

Llei de Serveis Digitals (DSA) i marketing digital

per

La coneguda com Llei de Serveis Digitals (DSA) de la Unió Europea (Reglament UE), en vigor des de febrer de 2024, marca un abans i un després en el panorama del màrqueting digital. Aquesta normativa, dissenyada per crear un entorn en línia més segur i transparent, porta amb si canvis significatius que afecten directament les estratègies de màrqueting d’ empreses de totes les mides. En aquest article, explorarem com la DSA està transformant el màrqueting digital i què poden fer les empreses per adaptar-se a aquest nou escenari.

Principals canvis introduïts per la DSA

Més transparència en la publicitat

La DSA exigeix una major transparència en la publicitat online. Això implica:

  • Identificació clara dels anuncis i qui els patrocina
  • Explicació de per què un usuari està veient un anunci específic
  • Prohibició de publicitat dirigida basada en dades sensibles

Aquests canvis obliguen les empreses a repensar les seves estratègies de segmentació i a ser més transparents en les seves pràctiques publicitàries.

Restriccions en la publicitat adreçada a menors

Una de les mesures més significatives és la prohibició de la publicitat dirigida a menors basada en perfils. Això suposa:

  • Necessitat de desenvolupar estratègies de màrqueting alternatives per arribar al públic jove
  • Major èmfasi en el màrqueting de continguts i la publicitat contextual

Control de l’ usuari sobre les recomanacions

La llei atorga als usuaris més control sobre com se’ls mostren recomanacions:

  • Opció de no rebre recomanacions basades en perfils
  • Més transparència sobre com funcionen els sistemes de recomanació

Això implica que les empreses hauran d’ adaptar les seves estratègies de personalització i trobar noves formes d’ oferir contingut rellevant.

Adaptació de les estratègies de màrqueting

Enfocament en dades pròpies (first-party data)

Amb les restriccions en l’ ús de dades de tercers, les empreses han de:

  • Enfortir les seves estratègies de recopilació de dades pròpies
  • Millorar la qualitat i l’ anàlisi de les dades recopilades directament dels usuaris
  • Implementar sistemes robustos de gestió de consentiment

Auge del màrqueting contextual

El màrqueting contextual guanya rellevància com a alternativa a la publicitat basada en perfils:

  • Desenvolupament d’ estratègies publicitàries basades en el context del contingut
  • Major èmfasi en la rellevància i qualitat del contingut publicitari

Innovació en el mesurament i atribució

Les empreses necessitaran:

  • Desenvolupar nous mètodes de mesurament de l’ eficàcia publicitària
  • Implementar models d’atribució alternatius que no depenguin de cookies de tercers

Oportunitats emergents

Malgrat els desafiaments, la DSA també presenta oportunitats:

  • Millora de la confiança del consumidor a través de pràctiques més transparents
  • Impuls a la innovació en tecnologies de màrqueting respectuoses amb la privacitat
  • Possibilitat de destacar davant la competència mitjançant pràctiques ètiques i transparents

Conclusió

La Llei de Serveis Digitals representa un canvi de paradigma en el màrqueting digital. Tot i que planteja desafiaments significatius, també ofereix l’oportunitat de construir relacions més sòlides i confiables amb els consumidors. Les empreses que s’adaptin ràpidament a aquest nou entorn, prioritzant la transparència, l’ètica i la innovació, estaran més ben posicionades per tenir èxit en l’era post-DSA.

Està la teva estratègia de màrqueting preparada per a l’era DSA? No esperis més per adaptar les teves pràctiques i assegurar el compliment normatiu. Contacta amb el nostre equip d’experts en dret digital per a una avaluació personalitzada i descobreix com podem ajudar a navegar aquest nou panorama legal mantenint l’efectivitat de les teves campanyes.

Quines mesures de seguretat han d’implementar les empreses en relació a la protecció de dades a Espanya?

per

Les empreses a Espanya han d’implementar diverses mesures de seguretat per complir amb la normativa de protecció de dades i garantir la privacitat de les dades personals.

Repassem les mesures principals:

Implementació de polítiques i normatives de seguretat informàtica: És fonamental per protegir els actius digitals i establir els procediments necessaris per prevenir i mitigar els riscos cibernètics.

Conscienciació i formació en ciberseguretat: La conscienciació i formació són aspectes cabdals per promoure una cultura de seguretat en les organitzacions.

Educació i conscienciació constant: És crucial promoure l’educació en ciberseguretat des de l’inici i fomentar la conscienciació contínua en tots els nivells, no només als directius sinó també als empleats de les organitzacions.

Col·laboració public-privada: La cooperació entre el sector públic i privat és essencial per fer front als desafiaments de seguretat digital, compartint informació, bones pràctiques i recursos per enfortir la protecció.

Adaptació a les noves amenaces: Les organitzacions han d’estar preparades per fer front a les noves i sofisticades formes de ciberatacs, actualitzant constantment els seus sistemes de seguretat i adoptant mesures preventives més sòlides.

Rol de la intel·ligència artificial i altres tecnologies emergents en la protecció de dades: La intel·ligència artificial (IA) i altres tecnologies emergents estan desenvolupant un paper cada vegada més important en la protecció de dades. Cal ser capaç d’aprofitar el seu potencial. Formar-se és una obligació.

Identificació de riscos i anàlisis de bretxes de seguretat: La identificació de riscos i l’ anàlisi de bretxes de seguretat són processos fonamentals en el marc de la normativa de Protecció de Dades, tant per garantir la ciberseguretat com per complir amb els requisits de privacitat.

Notificació de bretxes de seguretat: Recordem que s’ha de notificar qualsevol bretxa de seguretat a l’AEPD en un termini màxim de 72 hores.

Mesures tècniques i organitzatives: Implementar mesures de ciberseguretat com l’ ús de programari de protecció, el xifrat de dades o les polítiques adequades d’ autenticació resulten indispensables per al compliment de la Llei.

Polítiques de seguretat i formació en ciberseguretat: La definició de polítiques de seguretat i la formació en ciberseguretat del personal de forma proactiva són mesures organitzatives previstes per la Llei de Protecció de Dades.

Responsable de protecció de dades: Les empreses amb un gran volum de dades —més de 50.000 registres— i aquelles de qualsevol mida que manegin informació com els centres docents, els sanitaris i les empreses de màrqueting, han de comptar amb un responsable de protecció de dades.

Certificat ISO 27001: La certificació ISO 27001 és una garantia per a la seguretat de les dades personals.

Implementació de sistemes d’ auditoria i monitoratge: La implementació de sistemes d’ auditoria i monitoratge capaços de realitzar un seguiment de les activitats relacionades amb el tractament de dades és una mesura de ciberseguretat prevista per la Llei de Protecció de Dades.4

DPD (Delegat de Protecció de Dades): El DPD és un professional que s’encarrega de garantir el compliment de la normativa de protecció de dades a les empreses.

Esquema Nacional de Seguretat: L’Esquema Nacional de Seguretat és un instrument clau per reforçar les capacitats de defensa davant les ciberamenaces sobre el sector públic i les entitats col·laboradores.

Aquestes mesures de seguretat estan dissenyades per protegir les dades personals i garantir la privacitat dels ciutadans, complint amb la normativa de protecció de dades a Espanya i la normativa europea.

No abaixem la guàrdia. Les dades personals no poden estar en risc. Ens hi juguem molt com a empresa i com a persones.

I com sempre, ¡cuideu-vos!

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

El DNI “i dos ous durs”

per

Recordem la cèlebre frase de Groucho Marx a la pel·lícula “Una noche en la ópera”. En un camarot abarrotat, Groucho fa la comanda de menjar al cambrer i cada vegada afegeix un plat a la llista. Noi, un altre germà, diu: “I també dos ous durs“, i Harpo, el tercer germà mut, fa sonar la botzina per indicar que, en comptes de dos, posi tres ous. I així diverses vegades.

M’he recordat d’aquesta frase en relació a l’Informe 48/2023 de l’Agència de Protecció de Dades del passat setembre, en el qual posa de manifest la decisió de posar fre a la pràctica que les empreses demanin còpies del DNI per identificar els ciutadans per qualsevol qüestió. És un costum arrelat que empreses i Administració demanin tota sort de documentació al ciutadà i a més “també còpia del DNI” (si és possible per les dues cares).

Existeix una tradició heretada de la derogada Llei Orgànica de 1999, que establia com a procediment oficial per a l’exercici de drets l’obligatòria entrega d’una còpia del DNI (o NIE o document equivalent). Aquesta pràctica segueix duent-se a terme sense que ningú se la qüestioni perquè “sempre s’ha fet així” i perquè sembla que ofereixi més seguretat al tràfic jurídic.

En el seu Informe, l’ AEPD considera que l’ ús de DNI pot resultar excessiu o directament innecessari per complir amb la finalitat d’ identificació.

Quins problemes planteja?

El número del DNI no és una dada de categoria especial però sí que és una dada sensible, ja que el seu mal ús o abús pot generar efectes desfavorables per al seu titular.

La suplantació d’identitat és un perjudici molt habitual ja que poden realitzar-se moltes gestions com donar d’alta contractes o comptes corrents, registrar-se en llocs web de pornografia o joc online, fins i tot, demanar un duplicat de la targeta SIM.

I també suposa un repte de seguretat de la informació per a les empreses que realitzen els tractaments perquè han d’emmagatzemar els DNIs, en format analògic o digital, i assegurar la seva transmissió a tercers. Per a companyies que manegen cents de milers de documents, fins i tot de milions, a l’any, no és un problema menor. Una bretxa de seguretat en aquests casos pot ser devastadora per a la seva reputació, sancions al marge.

Què és el principi de minimització?

Està consagrat a l’article 5.1.c) “Les dades personals seran adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades («minimització de dades»). És a dir, només podem tractar com a responsable únicament aquelles dades que són estrictament necessàries per a la finalitat perseguida.

Què diu l’Agència?

L’ Agència parteix de recordar el principi de responsabilitat proactiva, que recull el RGPD, de manera que cada responsable haurà de valorar els casos d’ ús concrets que se li presentin, i fer judicis de ponderació si fos necessari, i veure si és procedent o no demanar el DNI o tractar el número o guardar una còpia per als seus registres. I, si cal demanar-ho, quines mesures de protecció especial s’han d’aplicar.

I en l’Informe, l’Agència exposa uns criteris generals com que la sol·licitud del número o còpia del DNI no es pot instaurar per defecte i que cal analitzar cada supòsit concret.

I tampoc es pot demanar una còpia del DNI per a l’ exercici de drets per part de l’ interessat.

Com en tot, hi ha excepcions. Per exemple, es pot demanar el DNI per complir amb la normativa en les activitats de prevenció del blanqueig de capitals i el finançament del terrorisme perquè la llei l’empara.

Sancions

Les sancions són cada vegada més freqüents i d’ import més elevat. Missatgeria (per fotografiar el DNI), hotels i plataformes com AirBnb (per demanar còpia per fer la reserva), entitats bancàries per demanar el DNI per fer un tràmit i, fins i tot, una sanció de 300.000 € a una empresa de selecció de personal per vulnerar l’article 5.1.c) del RGPD (minimització de dades) i una infracció de l’article 12 RGPD en l’àmbit de l’exercici dels drets de l’interessat.

Solucions

No hi ha una solució única. Cada responsable haurà de revisar els seus casos d’ús i veure quines dades necessita i recollir només aquestes. O, si necessita la còpia del DNI, justificar-ho.

I veure si hi ha alternatives menys costoses per a l’usuari.

Hi ha al mercat solucions tècniques que permeten, per exemple, escanejar un document apantallant (ofuscant, excloent, pixelant la imatge, etc.) determinats camps el que permet guardar només aquells estrictament necessaris.

O enviar codis alfanumèrics al telèfon mòbil que permetrà la identificació de l’usuari.

Conclusions

La pràctica de demanar el DNI per a tot ha de decaure. I s’ha de fer un esforç per part de tothom perquè s’escometi la reforma dels sistemes de les empreses al més aviat possible. I prendre mesures també encausat, dels quals parlarem un altre dia. Com sempre, cuideu-vos!

Espanya, un pas endavant en la supervisió de la Intel·ligència Artificial

per

En efecte, l’Agència Espanyola d’Intel·ligència Artificial (AESIA) començarà a funcionar en un termini màxim de tres mesos. A finals d’agost, el Consell de Ministres va aprovar l’Estatut d’aquest organisme, que s’adscriu al Ministeri d’Assumptes Econòmics i Transformació Digital. Espanya es converteix així en el primer país europeu en tenir un òrgan d’aquestes característiques. Però comencen per el principi.

Què és la intel·ligència artificial?

La intel·ligència artificial (IA) és un subcamp de la informàtica que busca crear sistemes capaços de realitzar tasques que requereixen intel·ligència humana. Aquestes tasques poden incloure, però no es limiten a, la comprensió del llenguatge natural, la percepció visual, la presa de decisions, la resolució de problemes i l’aprenentatge a partir de dades o experiències anteriors.

La IA es basa en diferents tècniques i teories, incloent-hi els algoritmes de cerca, la lògica, el reconeixement de patrons, l’aprenentatge automàtic, les xarxes neuronals, la robòtica, entre d’altres.

Què és la intel·ligència artificial generativa?

I com tot avança a tota velocitat, ara ja disposem de IA generativa. La intel·ligència artificial generativa es refereix a sistemes d’IA que poden generar contingut nou que no ha estat prèviament vist. En lloc de simplement analitzar dades i extreure’n informació (com ho faria un sistema d’IA “discriminatiu”), els sistemes generatius poden crear dades que semblen noves i originals.

Això fa que els problemes que planteja la IA és multipliquin.

Perquè necessitem regular la IA?

Les raons són múltiples. Podem citar-ne unes quantes com conductes d’ètica dubtosa que afectin a la privacitat dels individus, raons de seguretat si la IA es fa servir per atacar sistemes de ciberseguretat, opacitat dels algoritmes que amaga com es prenen les decisions, biaix en la presa de decisions que afecti a la igualtat de les persones, responsabilitat en cas de decisions errònies preses per la IA, estimular la innovació cap a direccions positives per la societat, fer aportacions decisives en el camp econòmic i laboral si la IA està ben orientada, protegir el consumidor o, per últim, per coordinar la nostra regulació amb la d’altres països, a la manera, per exemple, com s’ha fet amb la protecció de dades a Europa.

La clau és trobar un equilibri entre protegir la societat i els drets individuals sense frenar la innovació i el desenvolupament tecnològic.

Quin pas ha donat Espanya?

El Govern ha explicat que aquesta estratègia inclou diferents plans estratègics, entre ells l’Estratègia Nacional d’Intel·ligència Artificial (ENIA) , que té com a objectiu donar un marc de referència per al desenvolupament d’una intel·ligència artificial “inclusiva, sostenible i centrada en la ciutadania”.

L’Estratègia forma part del Pla de Recuperació, Transformació i Resiliència (PRTR) , que pretén situar Espanya com a país capdavanter en intel·ligència artificial (IA). L’AESIA s’adscriu al Ministeri d’Afers Econòmics i Transformació Digital mitjançant la Secretaria d’Estat de Digitalització i Intel·ligència Artificial.

Amb la creació d’aquesta agència, Espanya es converteix en el primer país europeu que té un òrgan d’aquestes característiques i s’anticipa a l’entrada en vigor del Reglament europeu d’intel·ligència artificial.

La figura del DPD en la aplicació de la IA

El Delegat de Protecció de Dades, professional que revisa el compliment de la normativa de privacitat a les empreses i organismes, és la figura idònia per supervisar la utilització de la IA. Com diu l’AEPD, “el DPD, fins i tot en els casos que no sigui obligatori, pot ser de gran utilitat en aquelles entitats que empren solucions basades en IA i que tracten dades personals, o  que desenvolupen solucions d’IA que fan ús de dades personals per a l’entrenament dels models. A tenir-ho present.

Conclusions

El món de la IA, tant apassionant com ple de perills i incerteses, ha irromput amb força en la nostra societat. I encara només hem vist el principi. Si som capaços de fer-la nostra, tot minimitzant les desavantatges i potenciant les avantatges per tots, no per uns quants, estic convençut que estem davant del que els americans en diuen un ”game changer”.  Molt disruptiu, potser, fins i tot, superant l’eclosió d’Internet. Veruem.

 

Mentrestant, cuideu-vos!

L’Espai Europeu de Dades Sanitàries (EHDS): un immens repte per a la privacitat

per

Introducció:

Diuen que el camí a l’infern està empedrat de bones intencions. El passat maig del 2022, la Comissió Europea va presentar una proposta de regulació sobre el denominat Espai Europeu de Dades Sanitàries. La proposta va ser motivada pel descobriment d’un alt grau de fragmentació, disparitats i dificultats en l’accés i l’ús de dades sanitàries electròniques en els Estats membres de la Unió Europea. De fet, les accions dels Estats membres en aquest àmbit s’han demostrat clarament insuficients. La pandèmia va fer saltar totes les costures.

Els problemes

Ara mateix, els usuaris tenim dificultats per exercir els nostres drets sobre les dades electròniques de salut, incloent-hi l’accés i la transferència, tant a nivell nacional com transfronterers. Per exemple, encara que tinguem les dades en digital, els usuaris no estem en disposició de donar accés o permetre’l a les nostres dades a diferents proveïdors de salut.

Avui en dia, hi ha diferències significatives en l’aplicació de regles a través dels Estats membres per la manca de pautes i recomanacions. I això és el que pretén millorar la Unió Europea.

Les bones intencions

Doncs la Comissió Europea te intenció de definit estàndards i practiques comuns per crear la necessària infraestructura i certificacions per establir un marc de governança comú per l’ús compartit de dades electròniques de salut.

Això permetrà un major control dels individus sobre les seves dades, facilitant l’accés i la compartició amb els professionals sanitaris. I d’altre banda, facilitarà la feina d’aquest professionals permetent l’accés a la història mèdica del pacient, incrementant la base de coneixement per prendre més decisions sobre el diagnòstic i el tractament dels pacients.

Els reptes (o perills)

Milions de dades de salut, que recordem són de categoria especial, gestionats per pacients i professionals de la sanitat suposen un repte gegantí per una UE compromesa, unida i sense fissures, amb la protecció de dades.

I, quins són aquest reptes? Repassem-ne els principals.

Requerir el consentiment del pacient per compartir les dades de salut. I com be recull el Reglament, el consentiment ha de ser explícit, inequívoc, que reflecteixi una manifestació lliure, informada d’acceptar el tractament de dades que li concerneixen. I el dret de retirar el consentiment en qualsevol moment. No sembla que la UE ho tingui molt clar. Més aviat el contrari.

Limitar la definició de dades de salut. Ara mateix, el text defineix com “dades de salut” un ampli ventall de 15 categories que van molt més enllà del què entenem, estrictament parlant, per informació sobre la salut o l’atenció mèdica dels pacients. Alguns exemples de dades proposades com de “salut”: assegurança, estatus professional, educació, consum de substàncies, benestar, comportament, estil de vida, … Clarament excessiu, al meu parer.

Fer que les finalitats permeses per a l’ús de les dades siguin precises i legítimes

La llista de finalitats permeses del tractament de dades de salut és massa llarga i massa inconcreta: per exemple, els governs poden donar accés a qualsevol tercer que consideri convenient per garantir “alts nivells de qualitat i seguretat sanitària i de medicaments o dispositius mèdics”. El redactat sembla fet per una empresa farmacèutica.

La seguretat de les dades ha de ser la màxima prioritat

Una obvietat però no per això ho deixarem de dir-ho. Dades sensibles de més de 450 milions d’europeus en centres de dades centralitzats, és un pastís massa llaminer per els ciberdelinqüents. El valor en el mercat negre d’aquestes dades en el mercat negre és incalculable. El dany que pot provocar un ciberatac, també. El recent episodi del Clínic de Barcelona n’és un exemple.

Conclusions

Les avantatges de la iniciativa són evidents. Els perills, també. Si a aquest escenari li afegim Intel·ligència Artificial o Big Data, tenim servit el còctel explosiu. I parlem no tan sols del primer ús de les dades (l’assistència sanitària) sinó també de l’ús secundari, aquell que permet transferir dades a organismes, industries, investigadors, reguladors, etc. per tal de millorar la atenció sanitària, la investigació, la innovació i les polítiques.

Veurem. De moment, cuideu-vos perquè si no ho fem nosaltres, no sé si ho farà ningú!

A la tercera, va la vençuda?

per

L’Acord Transatlàntic de Protecció de Dades (ATP) és un nou marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord va ser anunciat el febrer del 2021, després de mesos de negociacions, i busca proporcionar un marc actualitzat i més sòlid per a la transferència de dades personals.

L’ Acord

L’ ATP es basa en un conjunt de normes i compromisos que els proveïdors de serveis han de complir per garantir que les dades personals siguin tractades de manera justa i transparent. Aquestes normes inclouen l ‘ obligació dels proveïdors de serveis de proporcionar informació clara i concisa sobre com s’ utilitzaran les dades personals, així com el dret dels individus a accedir i rectificar les seves dades personals.

L’ATP també estableix una sèrie de controls i mesures de seguretat per protegir les dades personals dels ciutadans europeus. Aquestes mesures inclouen l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, així com l’ obligació de notificar a les autoritats pertinents en cas d’ una violació de dades.

A més, l’ATP se centra en la supervisió i el compliment. L’ ATP estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses que no compleixin amb els requisits de l’ ATP s’ enfrontaran a sancions i mesures disciplinàries.

Una de les principals diferències entre l’ATP i els seus predecessors és que l’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals. Aquests compromisos inclouen la promesa que les autoritats dels Estats Units només podran accedir a les dades personals dels ciutadans europeus en casos específics i limitats, i només si s’han esgotat altres opcions. A més, el govern dels Estats Units s’ha compromès a crear un mecanisme de recurs independent perquè els ciutadans europeus puguin presentar queixes i buscar reparació en cas que es produeixin violacions de dades.

La falta d’ acord anterior

L’acord anterior, Privacy Shield (Escut de Privacitat), va ser dissenyat per proporcionar un marc per a la transferència de dades personals entre Europa i Estats Units. Aquest acord es basava en una sèrie de compromisos i garanties per part del govern dels Estats Units en relació amb la protecció de dades personals.

No obstant això, el juliol del 2020, el Tribunal de Justícia de la Unió Europea (TJUE) va declarar la invalidesa del Privacy Shield, argumentant que el marc no garantia adequadament la protecció de les dades personals dels ciutadans europeus en mans de les empreses estatunidenques.

La decisió va ser rebuda amb preocupació per les empreses que depenen de la transferència de dades entre Europa i Estats Units per dur a terme les seves operacions. Les empreses que no van poder complir amb els requisits de Privacy Shield es van veure obligades a suspendre o restringir les seves operacions a Europa.

L’ impacte en les empreses

L’impacte més obvi de l’ATP a les empreses és que hauran de complir amb nous requisits en relació amb la protecció de dades personals. Això pot implicar la revisió i actualització de les polítiques i pràctiques de privacitat, la implementació de noves mesures de seguretat, la contractació de personal addicional i l’ adopció de noves tecnologies per garantir el compliment de l’ ATP.

Les empreses també hauran de garantir que les mesures de seguretat tècniques i organitzatives que implementen per protegir les dades personals siguin adequades i eficaces. L’ ATP estableix l’ obligació dels proveïdors de serveis d’ implementar mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals, i això significa que les empreses hauran de revisar i actualitzar les seves mesures de seguretat per garantir que siguin suficients per protegir les dades personals.

L‘ATP també estableix un mecanisme de supervisió per garantir que els proveïdors de serveis compleixin amb les seves obligacions en relació amb la protecció de dades personals. Les empreses hauran d’ assegurar-se que estan complint amb els requisits de l’ ATP i estar preparades per enfrontar sancions i mesures disciplinàries si no ho fan.

Un altre impacte important de l’ATP és que les empreses hauran de parar atenció als canvis en la regulació i les pràctiques de privacitat a Europa i Estats Units. L’ATP es basa en una sèrie de compromisos i garanties que el govern dels Estats Units ha assumit en relació amb la protecció de dades personals, i això significa que qualsevol canvi en la regulació o les pràctiques de privacitat als Estats Units pot tenir un impacte en el compliment de l’ATP.

A més, l’ATP pot tenir un impacte en la reputació i la confiança de l’empresa. Els clients i els consumidors poden valorar cada vegada més la privacitat i la seguretat de les dades personals, i les empreses que no compleixin amb els requisits de l’ATP poden enfrontar crítiques i pèrdua de confiança per part dels seus clients i consumidors.

No obstant això, també hi ha alguns beneficis per a les empreses que compleixen amb els requisits de l’ATP. Per exemple, el compliment de l’ATP pot millorar la protecció de les dades personals i reduir el risc de violacions de dades, cosa que pot tenir un impacte positiu en la reputació de l’empresa i en la confiança dels clients i consumidors.

A més, el compliment de l’ATP pot ajudar les empreses a complir amb altres regulacions i estàndards de privacitat a tot el món. Molts països i regions tenen lleis i regulacions de privacitat similars a l’ATP.

En Resum

L’Acord no és ferm encara i potser passin mesos fins que es ratifiqui. Mentrestant, empreses com Meta ja han amenaçat de suspendre les seves transferències. Tenint en compte que Facebook, Instagram o Whatsapp pertanyen al grup, l’impacte per a usuaris, empreses i anunciants pot ser, en termes socials, econòmics i fins a polítics, d’una magnitud molt difícil de preveure.

En qualsevol cas, ¡cuideu les vostres transferències internacionals i cuideu-vos vosaltres!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web