La Lliga (LFP) sota Vigilància

En una era on la tecnologia s’entrellaça cada vegada més amb la vida quotidiana, la privacitat de les dades s’ha convertit en un tema de discussió fonamental. Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha posat el focus en La Lliga de Futbol Professional (LFP) per l’ús de sistemes de reconeixement facial als estadis. Aquest avís no només ressalta els desafiaments que enfronten les grans organitzacions, sinó que també envia un missatge crucial a les empreses en general sobre la importància de navegar amb cura en el complex món de la biometria i la protecció de dades.

De fet, ja ens referim al tema setmanes enrere quan l’AEDP va publicar la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics per al control de presència i accés als llocs de treball. La publicació va suposar un important canvi de postura de l’ Agència respecte a l’ ús de la biometria en l’ accés i el control laboral.

Reconeixement Facial i Privacitat

El reconeixement facial, una forma de biometria, s’ha utilitzat cada vegada més per millorar la seguretat en llocs públics, incloent estadis esportius. Tot i que aquestes tecnologies ofereixen beneficis significatius en termes de seguretat, també generen preocupacions considerables sobre la privacitat i els drets individuals. L’AEPD ha cridat l’atenció sobre aquest equilibri delicat, emfatitzant la necessitat de complir amb regulacions estrictes, com el RGPD.

La resposta de La Lliga (LFP)

Davant les advertències de l’AEPD, La Lliga ha defensat el seu ús de sistemes de reconeixement facial, argumentant que el seu principal objectiu és garantir la seguretat als estadis.

La Lliga sosté que aquesta tecnologia ajuda a identificar individus que puguin representar una amenaça, com aquells amb prohibicions d’accés o implicats en actes violents previs. Aquesta justificació es basa en la premissa que la seguretat col·lectiva pot requerir mesures més robustes, tot i que intrusives.

 Tanmateix, aquesta posició planteja un important debat: fins on pot arribar una organització en la implementació de tecnologies de vigilància sota la premissa de la seguretat, sense vulnerar els drets individuals de privacitat?

I aquest debat afecta també totes les empreses i organitzacions.

Implicacions per les empreses

A falta de veure com es resol el contenciós entre La Lliga i l’AEPD, i a l’espera de veure si La Lliga és capaç de trobar suport jurídic per a les seves pretensions, les empreses han de ser conscients que qualsevol tecnologia intrusiva, especialment aquelles que processen dades biomètriques, requereix una anàlisi exhaustiva en termes de compliment normatiu, previ a la seva aplicació. És fonamental que les empreses avaluïn no només els beneficis de seguretat i eficiència que aquestes tecnologies poden oferir, sinó també l’ impacte en la confiança i la privacitat dels individus. Adoptar un enfocament transparent i responsable, alineat amb les directrius de l’ AEPD i el RGPD, és essencial per evitar sancions i preservar la reputació de l’empresa.

Conclusió

L’advertència de l’AEPD a La Lliga per l’ús de reconeixement facial en estadis és un recordatori oportú per a les empreses sobre la importància d’equilibrar la innovació tecnològica amb el respecte a la privacitat i la normativa de protecció de dades. Aquest cas subratlla la necessitat d’ un maneig acurat i ètic de tecnologies potencialment intrusives, instant les empreses a considerar no només els avantatges operatius, sinó també les implicacions legals i socials de la seva implementació.

Som a les portes d’una nova edició del Mobile World Congress (MWC) a celebrar a Barcelona. L’any passat van fer un ús intensiu del reconeixement facial per a la gestió de l’accés dels visitants. Veurem quina solució apliquen aquest any.

Mentrestant, cuideu-vos molt!

Privacitat sense límits?

La pregunta és, Què distingeix a las violacions de la privacitat d’altres danys? Això és el que planteja un paper americà, “Distinguishing privacy law: a critique of privacy as social taxonomy”.

La tesis que sostenen els autors és que durant el segle XX els estudiosos de la privacitat van intentar definir el concepte il·lusori de la privacitat. No van tenir èxit. Amb el canvi de mil·lenni, va arribar un nou enfoc: una taxonomia de de problemes de privacitat basada en el reconeixement social. Hem convertit el concepte amb un catàleg de casos abandonant la definició del seu objecte central. I ja és hora de repensar el concepte de privacitat en un entorn de informació complex i per què, donat un problema social –de la discriminació a la desinformació–, val la pena estudiar-ho en un marc de privacitat.

Privacitat

I què entenem per Privacitat? Doncs no tenim una definició pacífica. Però podem definir-la com el dret que tenim a preservar la nostra vida íntima (dret a l’honor, la intimitat i a la pròpia imatge com recull la nostra Constitució) i que no sigui accessible a altres sense el nostre consentiment. I aquesta definició inclou el concepte Privacitat Digital que és el be jurídic que la normativa de protecció de dades vol salvaguardar.

I la Privacitat Digital és el dret dels usuaris a protegir les seves dades a Internet y decidir quina informació personal poden veure els demés. I quina informació poden utilitzar i per què. És una expectativa legítima que tenim com persones de poder administrar la nostra “empremta digital”.  Ser, en definitiva, sobirans de les nostres dades. Ens hi juguem la nostra reputació digital, el nostre patrimoni intangible més important.

Privacitat sense límits?

La tecnologia evoluciona cada dia i planteja importants problemes de privacitat. Necessitem experiència per comprendre aquest problemes i trobar solucions imaginatives. Però la privacitat no hauria de prevaldre sobre qualsevol altre qüestió, de la mateixa manera que les altres qüestions no haurien de prevaldre automàticament sobre la privacitat. Ambdós interessos han de fer concessions i trobar un resultat equilibrat.

Nous reptes, noves solucions

Moltes tecnologies existents i gairebé totes les noves plantegen importants problemes de privacitat. Només cal veure, en aquest sentit, l’impacte que ha suposat ChatGPT i aplicacions similars. Ja hem vist respostes de tot tipus, des de prohibir-ne la seva utilització (per exemple, a Itàlia que ja han fet marxa enrere) fins a investigar-ne a fons com, per exemple, l’AEPD que ja va iniciar d’ofici actuacions d’investigació d’OpenAI, propietària de ChatGPT.

Davant els nous reptes, cal articular noves solucions. El RGPD promou la “privacitat per disseny”, es a dir, davant de qualsevol iniciativa considerar les implicacions de privacitat des del principi. Això ha de ser així sense convertir-se en guardians que impedeixin o menyscabin el desenvolupament empresarial.

Per què això no ha fet més que començar. Cal treballar plegats per trobar un equilibri entre el dret a la privacitat i la llibertat necessària perquè el món que coneixem no s’aturi amb una censura desbordada.

Cuideu-vos!

I ara arriba el (maleït) currículum!

Un cop més, una empresa, concretament un despatx d’advocats, ha estat sancionada per incomplir el RGPD en el tractament del currículum d’un candidat. El resultat? una sanció de 10.000 €. No és la primera, no serà l’última.

Ja hem parlat altres vegades del tema currículum. Tant empreses com candidats parteixen de premisses equivocades, obsoletes o directament falses. Els candidats, enviant currículums a tort i a dret, sense reparar que estan exposant les seves dades sense control; les empreses, en més casos dels desitjables, tractant els currículums sense la cura necessària per falta de coneixements, protocols i sovint, d’empatia vers el candidat.

Si hi ha un moment a la vida en què exposem nombroses dades personals, aquest és quan lliurem el currículum a una empresa amb la finalitat que ens contractin. Com  candidats hem d’exigir que les nostres dades es tractin degudament (per la qual cosa ajudaria conèixer mínimament la normativa). I com empresa, faltaria més, hem de complir escrupolosament amb el RGPD perquè és llei i perquè és el tracte correcte amb les persones.

Dues parts que haurien d’estar en equilibri. El candidat vol, òbviament, que el contractin i aconseguir un lloc de treball d’acord amb els seus mèrits i l’empresa vol contractar talent que li aporti valor.
Fem, per tant, que, independentment del resultat, l’experiència resulti satisfactòria per tothom.

Els fets

El reclamant va enviar el currículum en resposta a una oferta de treball i va ser convocada per una entrevista, sense informa-la en cap moment del nom de l’empresa ni cap dada identificativa.

Al arribar a la sala de l’entrevista, l’entrevistador va entrar amb el currículum de la candidata imprès. No se li va advertir del tractament que es pensava donar a les dades personals, ni del tractament que ja s’havia fet. No es va oferir cap tipus d’informació en compliment del RGPD.

L’única manera de saber qui la va entrevistar va ser gràcies a unes enganxines que hi havia dins l’oficina. A més, a la web corporativa tampoc consta cap informació relativa al RGPD.

Les consideracions de l’AEPD

Doncs segons l’AEPD, el despatx va obtenir dades personals dels usuaris de la pàgina web sense consentiment previ, en un formulari on introduir nom, correu i assumpte i pitjant l’opció “Enviar” per enviar-lo, sense més requisits.

Pel que fa a la Política de Privacitat, ens trobem que es proporciona una informació totalment insuficient, mancant, per exemple, la identitat i dades de contacte del responsable; les dades de contacte del delegat de protecció de dades, en el seu cas; els destinataris de les dades personals i de la informació necessària per exercir els drets que assisteixen als usuaris i com i on exercir-los.

Què hem de fer?

La llista d’incompliments del despatx dona per escriure un llibre, sense comptar que la conducta és la d’un despatx d’avocats que, per la seva naturalesa, hauria de posar-hi més cura en el tractament de les dades personals.

La nostra recomanació és que l’empresa disposi, al menys, d’un Protocol de tractament del CV (des de la publicació de l’oferta fins a la desestimació del candidat) i un conjunt de documents bàsics que permetin recollir el consentiment per el tractament i per l’entrevista de treball y circulars informatives del tractament (i del no tractament). I recordar que si la selecció es fa a través d’un portal d’ocupació o una agència de col·locació serà necessari tenir firmat el preceptiu contracte d’encarregat de tractament.

Tot això, en el benentès que l’empresa està degudament adequada a la normativa de Protecció de Dades. Si no, estarem incomplint i no servirà de res.

Com sempre, cuideu els currículums i cuideu-vos!

Candidats, currículums i empreses

Passat l’estiu comença un nou curs acadèmic, polític, judicial, esportiu i, en general, en totes aquelles àrees socials que aprofiten les vacances per descansar. I, en el món del treball, a les empreses i persones candidates se’ls gira força feina. Unes, perquè volen contractar talent i les altres perquè volen fitxar per la millor empresa possible. En qualsevol cas i per tots, és un temps de presses i de nervis, també d’il·lusió, que, tot sovint, ens fan cometre errors. A uns i altres.

I això ve a compte d’un parell de notícies que afecten a les empreses i a les persones candidates.

La primera, molt recent, fa referència a la sanció imposada per l’AEPD a una empresa per no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals. En vam parlar dies enrere.

L’altre, de fa més temps, recollia el cas d’una candidata que va mentir en el seu currículum per aconseguir una feina a Austràlia. Va tenir que pagar una indemnització i, després, va anar a la presó. Un altre dia ens ocuparem d’aquest tema.

Les dos notícies juntes posen de manifest que empreses i candidats han d’observar unes regles del joc bàsiques per no infringir la normativa i entendre que no fer-ho pot tenir conseqüències, fins i tot, greus. Per això avui recollim, a tall de recordatori, algunes altres conductes a observar en el procés de selecció i contractació de persones a les empreses.

Consentiment. En la  fase de selecció no és necessari el consentiment de la persona candidata. L’empresa està legitimada perquè el tractament és necessari per l’execució d’un contracte en el que el candidat n’és part o per l’aplicació, a petició d’aquest, de mesures precontractuals (art. 6.1.b) RGPD).

Informació. L’empresa, en canvi, té el deure d’informar del tractament, el que constitueix una garantia per la persona candidata. I ho ha de fer d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.

Vida laboral. L’empresa, acreditant un interès legítim, pot sol·licitar un informe de vida laboral per comprovar la veracitat i experiència del currículum.

Oferta de treball. Les ofertes de treball s’han de redactar en termes neutres (no demanar sexe, edat, raça, creences polítiques o religioses, etc.) i recordar que les funcions especificades són vinculants. I si s’inclou l’alternativa de teletreball, el candidat ho pot reclamar posteriorment sinó se li proporciona.

Entrevista de feina. En l’entrevista de feina, les respostes no equivalen a un consentiment i si fem preguntes sobre dades de categoria especial (salut, orientació sexual, opinions polítiques, afiliació sindical, dades genètiques, etc.) s’hauran de prendre mesures addicionals. Evitem anotar judicis de valor i vigilem si les dades recollides poden donar lloc a discriminacions contraries al principi constitucional d’igualtat. Suposaria una infracció administrativa greu.

Xarxes socials. Les persones candidates no estan obligats a permetre la investigació de l’ocupador en el seus perfils de les xarxes socials, tret de supòsits específics i sempre que sigui informada.

Conservació i eliminació. Acabat el procés de selecció, si la persona no és contractada es serà necessari el seu consentiment per un futur tractament, tret que l’ocupador pugui demostrar interès legítim (base de legitimació). Si no, eliminarà el currículum amb tota la documentació associada.

Mesures de seguretat. L’empresa ha de garantir la confidencialitat i el secret professional, fins i tot, quan hagi acabat la relació. Per això ha de tenir implementades les mesures de seguretat que garanteixen, a més, la disponibilitat i la integritat de les dades.

Naturalment, hem recollit aquí algunes, no totes, de les situacions més comuns que es poden donar en el tractament de dades durant el procés de selecció de candidats. Com sempre, és important un bon assessorament professional que impedeixi cometre errors que ens poden donar sorpreses desagradables.

Cuideu-vos!

Nota: el contingut del post no pot substituir en cap cas l’assessorament professional que podeu demanar aquí.

Cookies again

Teníem pendent dos qüestions pel que fa a les cookies: la validesa de l’opció “seguir navegant” com manera de prestar el consentiment per part dels usuaris i la possibilitat de d’utilitzar els coneguts com “murs de galetes” que permeten limitar l’accés a determinats serveis o continguts als usuaris que expressament accepten l’ús de cookies.

I l’Agència Espanyola de Protecció de Dades (AEPD) ha actualitzat  recentment la seva Guia sobre l’ús de les cookies per adaptar-la a les Directrius sobre consentiment modificades  el maig de 2020 per el Comitè Europeu de Protecció de Dades (CEPD). La nova Guia ja està publicada en la web de l’Agència.

Respecte al primer aspecte destacable, l’opció de “seguir navegant”, la Guia explicita que no és, en cap circumstància, una forma vàlida de prestar el consentiment, en la mesura que aquestes accions poden ser difícils de distingir d’altres activitats o interaccions de l’usuari, per la qual cosa no seria possible entendre que el consentiment és inequívoc.

Pel que fa als “murs de galetes”, la Guia diu que no es podran utilitzar sinó ofereixen una alternativa al consentiment. Aquest criteri resulta especialment important en aquells supòsits en què la denegació d’accés impediria l’exercici d’un dret legalment reconegut a l’usuari, per ser, per exemple, l’accés a un lloc web l’únic mitjà facilitat a l’usuari per a exercitar aquest dret.

Aquests nous criteris s’hauran d’implementar, com a molt tard, el 31 d’octubre d’aquest any, establint-se així un període transitori de tres mesos per introduir els canvis necessaris en els mecanismes d’obtenció del consentiment per a l’ús de cookies que s’estiguin utilitzant.

És clar que la indústria publicitària haurà de moure fitxa i potser el camí és explicar-li a l’usuari, de forma transparent, perquè es fan servir les cookies. Si l’usuari sap exactament perquè volem les seves dades i en què el beneficia, estarà disposat, a ben segur, a compartir-les amb nosaltres. No hi ha un altre camí.

El compliment normatiu no és un camí curt i fàcil però si tots –institucions, empreses, ciutadans i professionals de la privacitat– treballem junts en la mateixa direcció aconseguirem que contribueixi significativament al creixement de l’activitat econòmica, amb seguretat. I, al cap i a la fi, això és el que volem tots.

Imatge Pixabay

La AEPD hace balance de sus primeros 25 años de vida con el testimonio de los directores que la han gestionado

La AEPD hace balance de sus primeros 25 años de vida con el testimonio de los directores que la han gestionado

Seis directores que han trabajado para que la protección de datos tenga el lugar que merece en nuestro país, con distinta suerte, infinidad de resoluciones sancionadoras y tutela de derecho para proteger al ciudadano, son algunos de los hitos de la Agencia Española de Protección de Datos (AEPD) en su primer cuarto de siglo. Sin olvidar alguna sentencia ya histórica como la del TJUE y el Derecho al olvido y tres Leyes reguladoras, si […]

Revisió Texts legals web