Més enllà del “Cosmetic compliance”

A l’àmbit empresarial, complir amb les normatives i regulacions és fonamental no només per evitar sancions, sinó també per construir una reputació sòlida i confiable. No obstant això, existeix un fenomen preocupant conegut com a “cosmetic compliance” o “compliment cosmètic“, que es refereix a pràctiques superficials destinades a aparentar conformitat amb les lleis i regulacions sense realment adherir-s’hi. Aquest concepte, prestat dels programes de Compliance Penal, és especialment rellevant també en l’àrea de protecció de dades, on el compliment efectiu és crucial per protegir la privacitat i la seguretat de la informació personal.

En el context de la protecció de dades, el “cosmetic compliance” pot manifestar-se de diverses formes. Per exemple, una empresa pot dissenyar polítiques de privacitat detallades i completes, però si no s’implementen de manera efectiva o si els empleats no estan adequadament capacitats per seguir aquestes polítiques, la conformitat és només superficial.

Una altra manifestació d’ aquesta pràctica és la utilització de tecnologies avançades per a la protecció de dades, sense configurar correctament aquestes eines o sense integrar-les adequadament en els processos operatius de l’ empresa. Això pot crear una falsa sensació de seguretat tant per a l’empresa com per als clients, quan en realitat les dades poden estar en risc.

Com detectar el “Cosmetic Compliance” en Protecció de Dades

Textos Legals Web “copiats i enganxats”

Un dels exemples més comuns de “cosmetic compliance” és l’ ús de textos legals copiats i enganxats d’altres fonts. Moltes empreses copien polítiques de privacitat, termes i condicions, o avisos legals d’altres pàgines web sense adaptar aquests documents a la seva pròpia realitat operativa i regulatòria. Això no només és una infracció de drets d’ autor, sinó que també pot portar a un incompliment real, ja que aquests textos poden no reflectir les pràctiques i necessitats específiques de l’ empresa.

Política de Cookies Irreal

Una altra pràctica comuna és la implementació de polítiques de cookies que no reflecteixen la realitat de les cookies que s’instal·len al navegador del client. Algunes empreses publiquen polítiques detallades sobre l’ús de cookies, però a la pràctica instal·len més cookies de les declarades, o cookies amb finalitats diferents a les anunciades.

Manca de Signatura d’ Acords de Confidencialitat o de Contractes d’ Encarregat de Tractament

L’absència d’acords de confidencialitat o contractes d’encarregat de tractament adequats és un altre senyal de “cosmetic compliance”. Les empreses han d’assegurar que qualsevol tercer que manegi dades personals en el seu nom (com a proveïdors de serveis) estigui legalment obligat a protegir aquesta informació, sense excepció. La manca d’ aquests acords pot posar en risc la seguretat de les dades i contravenir les normatives de protecció de dades.

Manca d’ Implementació de Mesures de Seguretat Efectives

L’ adquisició d’ eines avançades de seguretat sense una integració adequada en els processos operatius és un altre indici. Si una empresa inverteix en tecnologia de protecció de dades, però no configura aquestes eines correctament o no les utilitza de manera coherent amb les seves polítiques, està simplement aparentant compliment.

Auditories Internes Inadequades

Les auditories internes que són infreqüents, superficials o realitzades per personal no qualificat poden ser un signe de “cosmetic compliance”. Les auditories efectives han d’ ésser exhaustives i dutes a terme per professionals capacitats que puguin identificar i corregir deficiències en les pràctiques de protecció de dades.

Conclusió

El “cosmetic compliance” és una pràctica que pot tenir greus conseqüències per a les empreses, tant en termes de sancions econòmiques com de pèrdua de confiança dels clients, entre d’altres.

És molt important que l’ empresa implanti una cultura interna de compliment, no només pel que fa a privacitat, sinó també en les altres àrees de responsabilitat. Això requereix tenir una estratègia i, des de la responsabilitat proactiva i partint dels principis del RGPD de protecció des del disseny i per defecte, la protecció de dades es prepari abans d’ iniciar les activitats i que el tractament estigui configurat per utilitzar únicament les dades personals estrictament necessàries.

I la direcció ha d’ implicar tota l’ empresa en el compliment.

I, com sempre, cuideu les dades i ¡cuideu-vos!

L’Escàndol Worldcoin: Una mirada a l’abisme?

La recent acció de l’Agència Espanyola de Protecció de Dades (AEPD) contra Worldcoin, suspenent cautelarment la recollida i tractament de dades personals a Espanya deguda a diverses reclamacions, ha despertat un intens debat sobre l’ètica i legalitat del tractament de dades biomètriques a Espanya i més enllà. La controvèrsia gira al voltant de la recol·lecció i el processament de dades personals, en particular, escanejos de l’iris, per generar un identificador únic, conegut com a World ID, i per a la distribució de tokens de criptomonedes com una forma de pagament per aquestes dades.

Qüestions Ètiques i Legals a Torn a la Biometria

La utilització de dades biomètriques per identificar individus comporta riscos significatius de privacitat i seguretat. La naturalesa irrepetible i única d’ aquestes dades, com les impressions de l’ iris, fa que el seu ús indegut tingui conseqüències potencialment severes. Tot i que Worldcoin al·lega obtenir un “consentiment explícit” per a la recol·lecció d’aquesta informació, la naturalesa d’aquest consentiment i si compleix amb les estrictes definicions del Reglament General de Protecció de Dades (RGPD) de la UE és discutible.

La Controvèrsia del Consentiment: És Veritablement Lliure?

Una de les qüestions més polèmiques és si el consentiment obtingut per Worldcoin es pot considerar “donat lliurement”. Segons el RGPD, el consentiment ha de ser una manifestació lliure, específica, informada i inequívoca. No obstant això, el model de Worldcoin, que condiciona la recepció de tokens digitals i la creació d’una identitat única a la submissió de dades biomètriques, planteja la pregunta de si els usuaris realment tenen una elecció lliure en participar en aquest intercanvi.

Resposta Global i Accions Regulatòries

La resposta de l’AEPD no és un cas aïllat; Worldcoin ha atret l’escrutini de reguladors de protecció de dades a tot Europa. A França i Alemanya, les autoritats de protecció de dades han iniciat investigacions sobre la transparència i la seguretat en el processament de dades de Worldcoin. Aquestes investigacions busquen clarificar aspectes com la suficiència de la informació proporcionada als subjectes de dades, si es garanteixen els drets dels subjectes de dades i si s’ ha realitzat una avaluació d’ impacte de protecció de dades adequada.

La Perspectiva de Worldcoin i Desafiaments Futurs

Worldcoin ha defensat el seu projecte com una solució innovadora per verificar la identitat en l’era digital, proclamant que el seu World ID ofereix accés, privacitat i protección en línea. Sin embargo, la empresa enfrenta desafíos considerables en términos de cumplimiento regulatorio y aceptación pública, especialmente en un contexto europeo donde la protección de datos personales es una prioridad.

Cap a una Nova Era de Privacitat i Autenticació

El cas de Worldcoin subratlla el delicat equilibri entre innovació tecnològica i protecció de la privacitat. A mesura que avancem cap a un futur digital més integrat, serà crucial que empreses i reguladors treballin conjuntament per garantir que els avenços tecnològics no es facin a compte dels drets i llibertats fonamentals dels individus. La protecció de dades personals, especialment quan es tracta d’ informació biomètrica, s’ ha de manejar amb la major cura i respecte per l’ autonomia individual i la dignitat humana.

Aquesta situació de Worldcoin serveix com un recordatori oportú i una lliçó per a altres empreses en l’àmbit digital. La conformitat amb el RGPD i l’ ètica en el tractament de dades no només són obligacions legals sinó també imperatius morals que sustenten la confiança del públic i la legitimitat en l’ era de la informació.

Desafiaments i Responsabilitats en l’Era de la Identitat Digital

La controvèrsia al voltant de Worldcoin i la seva tecnologia d’escaneig d’iris destaca la complexa intersecció de la tecnologia, la privacitat i l’ètica en el modern panorama de la protecció de dades. Mentre que la promesa d’una identitat digital única presenta oportunitats per millorar la seguretat i l’autenticitat en línia, també planteja preguntes fonamentals sobre el control personal i la seguretat de les dades.

Impacte Social i Drets Humans

La recol·lecció de dades biomètriques per part d’empreses com Worldcoin no és només un assumpte de privacitat individual; té implicacions més àmplies per als drets humans i la inclusió social. La identitat digital, mentre ofereix el potencial per a un accés més inclusiu als serveis, també pot excloure aquells que, per diverses raons, no poden o no volen participar en aquests sistemes. A més, la possibilitat de vigilància i discriminació augmenta quan les dades biomètriques cauen en mans equivocades.

L’ Escrutini Regulatori i la Confiança Pública

El cas de Worldcoin ressalta la importància crítica de l’escrutini regulatori en l’era digital. Les autoritats de protecció de dades, com l’AEPD i la DPA de Baviera, juguen un paper essencial en la supervisió de les empreses que manegen dades sensibles, assegurant que s’adhereixin a les normatives establertes com el RGPD. La transparència i la rendició de comptes són fonamentals per mantenir la confiança dels usuaris sobre com es manegen les seves dades personals. L’eventual discrepància en les accions entre diferents DPAs, com s’observa entre Espanya i Baviera, també assenyala la necessitat d’una major coherència i col·laboració entre les autoritats per protegir efectivament els drets dels ciutadans en un mercat digital globalitzat.

Tecnologia i Consentiment informat

El debat al voltant de Worldcoin subratlla la necessitat crítica de consentiment informat en la recopilació de dades personals. El consentiment, segons el RGPD, ha de ser específic, informat i revocable. Tanmateix, el model de “consentiment” utilitzat per Worldcoin — on els participants intercanvien dades biomètriques per criptomonedes — planteja qüestions sobre la voluntarietat i la comprensió dels usuaris respecte al que estan acordant. La compensació per dades personals introdueix un dilema ètic i legal, especialment quan els usuaris poden no entendre completament les implicacions a llarg termini del seu consentiment o la permanència de les dades biomètriques en els sistemes digitals.

Futur de la Identitat Digital i el Rol de la Tecnologia Blockchain

L’ús de la tecnologia blockchain per Worldcoin afegeix una capa addicional de complexitat. Tot i que ofereix beneficis potencials en termes de seguretat i transparència, la incorporació de dades biomètriques a la blockchain planteja preocupacions irrevocables a causa de la naturalesa immutable d’aquesta tecnologia. Una vegada que les dades personals es registren en la blockchain, no es poden modificar ni eliminar, la qual cosa planteja riscos significatius si es viola la privacitat de les dades.

Cap a un Futur Ètic i Segur

És crucial que les innovacions tecnològiques com Worldcoin no només es desenvolupin amb consideracions tècniques i de mercat, sinó també amb un fort compromís amb els principis ètics i legals. La creació d’ estàndards globals per a la identitat digital i la gestió de dades biomètriques, juntament amb un diàleg obert entre tecnòlegs, reguladors, acadèmics i el públic, serà vital per assegurar que les innovacions en identitat digital beneficiïn la societat en el seu conjunt, protegint alhora els drets individuals i la integritat de les dades personals.

La narrativa al voltant de Worldcoin il·lustra clarament el camí endavant: un balanç entre innovació i ètica, entre progrés tecnològic i protecció de la privacitat. L’ adopció de tecnologies emergents requereix una consideració acurada de les implicacions legals i socials, garantint que la marxa cap al futur digital sigui segura, justa i respectuosa dels drets i dignitats de totes les persones.

Com dèiem al principi, això pot ser una mirada a l’abisme, sobretot, si es combina amb altres tecnologies com blockchain i, per suposat, amb l’omnipresent intel·ligència artificial. La combinació, dona por.

Cal pensar seriosament si volem vendre el nostre iris per un token, sabent que la decisió és irreversible. Així que pensem-ho bé abans de decidir.

I, com sempre, ¡cuideu-vos!

Fi de les trucades comercials no desitjades?

Tots estem cansats de rebre trucades no desitjades, moltes a hores intempestives, oferint-nos tot tipus de serveis, ofertes o propostes de los més divers. En efecte, a les ja conegudes trucades dels operadors de telefonia que ens ofereixen la tarifa definitiva amb tota classe de regals i descomptes, fins a ONG’s que reclamen ajudes per els seus propòsits, passant per tota mena d’empreses fent una acció comercial desagradable per tothom, amb una més que discutida rendibilitat. I ara, en campanya, també si afegeixen els partits polítics de forma més o menys disfressada.

Doncs bé, sembla que aquesta pràctica comercial pot estar en camí de desaparèixer. En efecte, el passat 30 de juny de 2022 va entrar en vigor la Llei 11/2022 General de Telecomunicacions, excepte l’article 66.1.b) per el que es va establir una moratòria d’un any per la seva entrada en vigor. I l’any es va complir ahir. I l’AEPD ha publicat una Circular que ho explica.

Consentiment

L’article es refereix, precisament, al dret de no rebre trucades comercials no desitjades. A partir d’ara, els usuaris tindrem dret s no rebre aquest tipus de trucades, tret que existeixi consentiment per part nostra o que la comunicació es pugui emparar en una altre base de legitimació de l’article 6.1 del Reglament (UE) 2016/679, es a dir, el RGPD.  

I com és natural aquest consentiment ah de complir totes les exigències que recull el Reglament.

Interès legítim

El cas més freqüent d’utilització d’aquesta base de legitimació per l’empresa, és que hi hagi una relació contractual prèvia, si el responsable va obtenir les dades de forma lícita i les fa servir per comunicacions comercials referents a productes o serveis de la seva empresa que siguin similars als que inicialment van ser objecte de contractació per part del client.

Mesures prèvies

Serà necessari que les empreses consultin prèviament els sistemes d’exclusió publicitària, conforme a l’article 23 de la LOPDGDD. El més conegut és la inscripció al Servei Llista Robinson. És gratuït i molt senzill de fer servir. L’AEPD ofereix a la seva web diverses maneres de restringir la publicitat no desitjada.

Les empreses també hauran adoptar garanties addicionals com són la informació sobre la identitat de l’empresari, indicar la finalitat comercial de la trucada i informar sobre la possibilitat de revocar el consentiment o exercir el dret d’oposició a rebre trucades.

Les trucades s’hauran de gravar per demostrar el compliment de la normativa sobre protecció de dades.

Les sancions

L’encarregat de fer complir la norma és l’AEPD que podrà imposar sancions fins a 100.000€ per les faltes lleus, i de fins a 20M€ en els casos d’infraccions molt greus.

Conclusions

Potser estiguem molt a la vora de resoldre una situació molt injusta per els usuaris y que fa masses anys que dura. L’abús i la impunitat de que han fet gala moltes empreses, tecnològiques, assegurances, bancàries, etc, havia arribat a un punt de fer-se, moltes vegades, insuportable. Seguirem d’a prop l’evolució de l’aplicació de la norma i, en especial, pel que fa referència a les sancions.

Des d’avui, la vida és una mica més fàcil per els usuaris. Recordeu, cuideu-vos!

ChatGPT: Àngel o Dimoni

Així es titulava la sessió d’ahir de El Mirador Indiscret, unes sessions de debat que periòdicament organitza el Col·legi del Màrqueting i la Comunicació de Catalunya sobre temes d’actualitat i interès per els col·legiats.

I la d’ahir no podia ser més oportuna ni de més interès. Oportuna perquè ChatGPT és, sens dubte, la tecnologia del moment de la que tothom en parla. Només veient la velocitat en la taxa d’adopció (mes de 100 milions d’usuaris en dos mesos) ens en podem fer la idea. I d’interès, més que mai, per tota la professió: creatius, copys, directors d’art, … per les implicacions que tindrà en la seva feina.

Veient la inversió de Microsoft i la incorporació de ChatGPT en el seu cercador Bing podem pensar que això no ha fet més que començar. I de la importància que té el fenòmen, en Gerard Olivé va posar dos exemples molt recents.

El primer, el pànic de Google quan Microsoft va anunciar la incorporació que va ser èpic. Tot de sobte, la totpoderosa Google rebia una sotragada de dimensions difícils d’avaluar encara en el seu “core business”, el cercador. Tot d’una, sembla més interessant buscar a Bing amb ChatGPT que a Google. I ningú ho va a veure venir.

I el segon, la intensa aplicació de la intel·ligència artificial als seus processos de negoci per part de Shein, la distribuïdora tèxtil, que els ho dona una avantatge competitiva davant d’Inditex, H&M i d’altres competidors. El time to market resulta ser molt més competitiu, tant en temps com en disseny. La seva app va ser la mès descarregada en compres als Estats Units l’any passat. A tenir en compte.

I, és clar, després de glosar les meravelles de l’eina, i sense voler desinflar el soufflé, era necessari tocar el tema de la protecció de dades. Per això, Gina Tost (Secretaria de Polítiques Digitals de la Generalitat)  es va encarregar, des del punt de vista de l’Administració, de valorar la irrupció d’aquestes tecnologies, les amenaces que es preveuen, els drets i deures digitals afectats i, naturalment, de la importància del marc regulador i com s’està treballant en aquest sentit.

I en aquest sentit, hem d’assenyalar que el be jurídic a protegir és la Privacitat Digital. És el dret que tenim als usuaris de protegir les nostres dades a internet y decidir quina informació poden veure els demés, quina informació poden utilitzar i amb quina finalitat i com exercir els nostres drets. És una expectativa legítima que tenim com individus de poder administrar la nostra “empremta digital”, entesa com l’allau de dades personals que generem cada dia i que, en definitiva, determinen la nostra reputació digital.

Com dèiem al principi, això no ha fet més que començar. ChatGPT no és, ni molt menys, l’única eina d’intel·ligència artificial al nostre abast. Ara mateix les podem comptar per centenars, amb totes les derivacions imaginables. Fins i tot, ja apareixen feines tant específiques com la de “prompt engineer”,  aquell professional que desenvolupa i optimitza la comunicació amb els algoritmes per obtenir el millor resultat.

En front d’aquest tsunami tecnològic que se’ns ve a sobre, la normativa de protecció de dades és l’instrument al nostre abast per mantenir la sobirania de les nostres dades. Hem de tenir el control perquè, d’altre manera, caldrà repensar si el viatge val la pena.

Com sempre, cuideu les vostres dades i cuideu-vos!

Del intèrfon al Whatsapp?

Dic lo del intèrfon perquè encara no el sabem fer anar correctament i ara cada dia hem d’aprendre coses noves. Doncs bé, avui toca repassar el Whastapp, que tots fem servir, perquè hi ha aspectes dels quals potser no en som conscients i ens poden ocasionar problemes. Hi ha conductes, fins i tot, que es poden tipificar com a delicte i tenir conseqüències penals.

Més enllà de qüestions bàsiques com la de demanar el consentiment per afegir a alguna persona a un xat grupal (exemple clàssic són el grup de pares de la classe o el grup de viatge, en el marc de la normativa de protecció de dades) o la difusió d’imatges íntimes, amb o sense consentiment (que vulnera l’article 197.7 del nostre Codi Penal) i ha altres conductes més desconegudes que també poden comportar conseqüències.

Parlem, per exemple, de pràctiques molt habituals com és el compartir fotografies i reenviar captures de pantalla amb converses alienes, i arxius, mitjançant Whatsapp. Són infraccions, sinó delicte, quan es fa sense el consentiment dels afectats i són especialment greus quan les dades es difonen de manera oberta i a un gran nombre de destinataris. Sense oblidar la protecció dels menors i les persones vulnerables.

En aquests supòsits podríem estar lesionant el dret a la intimitat o al honor de les persones implicades. També pot ser delicte difondre àudios, vídeos o simplement imatges d’un tercer sense consentiment. En el casos més greus es pot incorre en un delicte de descobriment i revelació de secrets.

Un altre conducta a la que em vull referir és a l’espionatge del mòbil d’una altre persona. Accedir al contingut d’un mòbil aliè i fer-se amb la informació que conté –fotos, vídeos, converses, etc. ­és delicte si no estàs autoritzat  per el propietari del dispositiu. Si a més es reenvia la informació a altres persones també es comet una il·legalitat, fins i tot la cometen els qui la difonen encara que no hagin participat en la seva obtenció. Recordem alguns exemple, de vegades molt tristos, com el de la treballadora d’Iveco o el d’Amanda Todd.

Respecta a l’espionatge, val a dir que el Codi Penal castiga fins i tot la mera adquisició de programes o contrasenyes destinats a facilitar l’accés al dispositiu d’una altre persona. Però si,  a més, s’instal·len i es descobreix la intimitat del propietari, estaríem davant d’un delicte de descobriment i revelació de secrets recollit en el citat article 197 del Codi Penal que preveu penes de presó d’un a quatre anys i multa de dotze a 24 mesos. No és cap broma.

Ens deixem en el tinter molts altres conductes habituals que tenen caràcter d’il·lícites com poden ser les amenaces, les injuries, les calumnies, el grooming (entabanar menors perquè facilitin material sexual explícit) , el stalking (assetjament) i altres.

La tecnologia posa en les nostres mans mitjans que fins fa poc eren ciència ficció. Hem d’aprendre a fer-los servir i, sobretot, formar als menors perquè, des de la inconsciència pròpia de l’edat, hi ha conductes que, més enllà del seu retret penal, poden tenir greus conseqüències per les persones afectades. Com sempre, sentit comú i prudència.

Apreneu, també, com funciona l’intèrfon que va sent hora. Cuideu-vos!

Ets europeu? Doncs la guerra d’Ucraïna no és l’única amenaça

La setmana passada recollíem el conflicte de Google amb la legislació de protecció de dades de la UE. De fet, el Supervisor Europeu acabava, res menys, de sancionar al Parlament Europeu per infringir el RGPD al utilitzar, precisament, Google Analytics. Podeu llegir el post aquí.

I ara toca, no podia faltar l’inefable Mark Zuckerberg. Amenaça amb tancar Facebook i Instagram a Europa. L’advertència s’enquadra en la guerra que Meta, la matriu de Facebook, Instagram y Whatsapp, té amb les lleis europees de protecció de dades.

El problema té la mateixa arrel que amb Google Analytics, MailChimp i una llarga llista d’empreses americanes que no compleixen amb la legislació europea. Tot ve de la sentència  que va anul·lar l’acord denominat Privacy Shield entre la UE i els EEUU el passat estiu del 2020. I ja ho vam explicar en el seu dia (‘Efecte Brussel·les’: cop de puny de la UE sobre la taula). I la UE està disposada a fer valer el Dret de la Unió.

I per si això no ha quedat clar, la UE donar dos passes definitives en el sentit regulador: la recent Llei de Serveis Digitals (DSA) que ha aprovat el Parlament Europeo (que encara no entrarà en vigor fins que es negociï amb la Comissió i el Consell Europeu) n’és una i, l’altre, la Llei de Mercats Digitals.

Respecta a la primera, i en paraules del comissari de competència de la UE, “És hora de posar ordre en el salvatge oest digital. Hi ha un nou sheriff a la ciutat, que es diu DSA”. EL resum de la Llei seria que el que és il·legal a la vida real, hauria de ser-ho online. La Llei es centra en crear un entorn digital més segur per els usuaris i les empreses digitals, a través de la protecció dels drets fonamentals en línia. La Llei aborda, entre altres, el comerç i intercanvi de béns, serveis i continguts il·legals en línia i, molt important, els sistemes algorítmics que amplien la propagació de la desinformació.

I respecte a la segona, complementària de la primera, pretén igualar les condicions per a totes les empreses digitals, independentment de la seva mida. Fixa regles clares sobre el què les grans plataformes de Internet poden i no poden fer dins la UE. Busca promoure la innovació, el desenvolupament i la competitivitat, ajudant a les empreses més petites i a les noves empreses a competir amb les grans.

Com dèiem en el post, Europa és un mercat únic molt envejable, entre altres coses, per el seu gran poder adquisitiu. Serà suficient perquè els gegants tecnològics es sotmetin a les lleis europees? És lo de Facebook una fanfarronada per pressionar a les autoritats europees? Què farà Google amb Google Analytics?

Veurem el que passa en els propers mesos però, el que estar clar, és que la UE vol, i probablement se’n sortirà, marcar el pas. Wait and see.

Mentrestant, cuideu-vos!

Què en saps de Google Analytics?

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies  de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren  transferits al Estats Units sense suficient garanties de protecció.  El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes  Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!  

L’agressió sexual ja està passant al metavers

Meta afirma que els usuaris no ho feien servir correctament. La plataforma de realitat virtual  Horizon Worlds, amb prou feines acaba de presentar-se al públic, i els usuaris ja estan sent assetjats sexualment i fins i tot agredits, segons podem llegir a The Verge.

Comencem per el principi. Què és Meta? El passat mes d’octubre, per els que ho desconeixen, l’inefable Mark Zuckerberg va presentar Meta, la nova marca de Facebook, la finalitat de la qual serà donar vida al metavers i ajudar la gent a connectar-se, trobar comunitats i fer créixer negocis. En la presentació, Zuckerberg va explicar que, a partir d’ara, la seva companyia es centraria en aquesta en fer realitat aquesta idea, la del metavers, i, per tant, tenia sentit canviar el nom per reflectir millor els seus objectius: Facebook ara es diu Meta.

La realitat és que, segons sembla, el canvi de nom representa un intent per desfer-se de lo que els propis empleats consideren una marca tòxica i que afecta, cada dia més, a la percepció dels seus productes. La marca que fins fa uns anys era reconeguda i valorada, ha perdut la seva reputació, val a dir, que per els errors comesos per el seu fundador. Els escàndols de privacitat s’associen cada cop més amb la marca FB. Recordem només el de Cambridge Analytica que, tot i ser dels més famosos, no ha estat l’únic ni molt menys.

I què és el metavers? Podríem entendre-ho com un ciberespai evolucionat. En un sentit ampli, involucra una sèrie de tecnologies, la primera de les quals és la realitat virtual, caracteritzada per mons virtuals persistents que continuen existint, amb vida pròpia, encara que tu no hi siguis. L’accés al metavers es fa a través d’ulleres de realitat virtual com, per exemple, Oculus. El metavers obre nous horitzons i un munt de possibilitats. Com podia ser Internet a finals dels 70 del segle passat. Ningú sabia exactament com seria però tothom (els que estaven al corrent de la tecnologia) tenien la percepció que seria una cosa gran. Bé, al final esta sent una cosa immensa que no es veu on acabarà.

I tot això és per explicar que la plataforma de Zuckerberg ja ha patit la primera ensopegada. En efecte, ja han arribat les primeres denúncies per assetjament i fins i tot per agressió sexual. Segons un testimoni, “No només em van palpar ahir a la nit, sinó que hi havia altres persones que van donar suport a aquest comportament que em va fer sentir aïllada a la Plaça.”

La condició humana no canvia ni tant sols en el metavers. Comportament delictiu en uns i mirar cap un altra cantó, els altres. Està clar que ens hem d’adaptar el que ve perquè és inevitable. De manera similar a que no poden anar contra la llei de la gravetat, tampoc podem anar contra el metavers. Això sí, ja de bon començament hem de assentar les bases de convivència. Si no, se’ns anirà de les mans.

Com sempre, cuideu-vos (en el metavers, també)!

Quatre recursos per evitar la publicitat no desitjada i com exercir els nostres drets

Vivim en l’era de les dades. Tenim accés a tota mena d’informació, i, no obstant això, moltes vegades estem desinformats. La veracitat del que llegim en internet sovint és qüestionable. També vivim un bombardeig constant de comunicacions no desitjades que pretenen “informar-nos” sobre algun producte o servei. Aquestes comunicacions solen fer-se a través de correus electrònics, missatges de text i trucades al telèfon mòbil.

En el post d’avui us facilitarem quatre recursos per a evitar la publicitat no desitjada:

  • Evita donar el teu consentiment. Aquest es pot donar de moltes maneres. La majoria de les vegades ens presenten una oferta o descompte a manera d’ham i per a poder gaudir-ho hem de marcar una casella on ens sol·liciten el consentiment per a enviar-nos publicitat. Ja està, ja hem picat.
  • Inscriu-te en una llista d’exclusió publicitària. A Espanya només existeix una oficial, que és la Llista Robinson. És un servei gratuït per als ciutadans, en el qual només has d’inscriure’t i indicar per quins mitjans no vols rebre publicitat: telèfon, correu postal, correu electrònic o SMS. Un cop inscrit, només podran enviar-te publicitat les empreses a les quals hagis donat el teu consentiment. Malgrat inscriure’ns en la llista, podem continuar rebent comunicacions publicitàries d’empreses a les quals hàgim donat el nostre consentiment anteriorment. Recordeu que podem revocar en qualsevol moment el consentiment exercint els nostres drets.
  • És necessari crear un perfil d’usuari? Tots ens descarreguem apps cada mes. Moltes vegades ens les descarreguem, ens creem un perfil cedint part de les nostres dades, i després ens oblidem d’aquesta app o fins i tot l’esborrem. Tot i així, el nostre usuari segueix actiu amb les nostres dades personals i amb les comunicacions comercials actives.
  • Exerceix el teu dret d’oposició i de supressió. El Reglament diu que “Si no desitges que una determinada empresa tracti les teves dades amb finalitats publicitàries, pots exercir el teu dret d’oposició davant el responsable perquè t’exclogui de les campanyes publicitàries que realitzi”. De la mateixa manera, pots exercir el teu dret de supressió. Si ets client de l’entitat que t’envia publicitat, és preferible que exerceixis el dret d’oposició, ja que la finalitat última del dret de supressió és l’eliminació de les dades en l’entitat.

Per a exercir els vostres drets podeu consultar-nos a nosaltres o bé podeu utilitzar els models en castellà facilitats per l’Agència Espanyola de Protecció de Dades (AEPD) o bé en català, facilitats per la Autoritat Catalana de Protecció de Dades.

Com sempre, cuideu-vos!

Candidats, currículums i empreses

Passat l’estiu comença un nou curs acadèmic, polític, judicial, esportiu i, en general, en totes aquelles àrees socials que aprofiten les vacances per descansar. I, en el món del treball, a les empreses i persones candidates se’ls gira força feina. Unes, perquè volen contractar talent i les altres perquè volen fitxar per la millor empresa possible. En qualsevol cas i per tots, és un temps de presses i de nervis, també d’il·lusió, que, tot sovint, ens fan cometre errors. A uns i altres.

I això ve a compte d’un parell de notícies que afecten a les empreses i a les persones candidates.

La primera, molt recent, fa referència a la sanció imposada per l’AEPD a una empresa per no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals. En vam parlar dies enrere.

L’altre, de fa més temps, recollia el cas d’una candidata que va mentir en el seu currículum per aconseguir una feina a Austràlia. Va tenir que pagar una indemnització i, després, va anar a la presó. Un altre dia ens ocuparem d’aquest tema.

Les dos notícies juntes posen de manifest que empreses i candidats han d’observar unes regles del joc bàsiques per no infringir la normativa i entendre que no fer-ho pot tenir conseqüències, fins i tot, greus. Per això avui recollim, a tall de recordatori, algunes altres conductes a observar en el procés de selecció i contractació de persones a les empreses.

Consentiment. En la  fase de selecció no és necessari el consentiment de la persona candidata. L’empresa està legitimada perquè el tractament és necessari per l’execució d’un contracte en el que el candidat n’és part o per l’aplicació, a petició d’aquest, de mesures precontractuals (art. 6.1.b) RGPD).

Informació. L’empresa, en canvi, té el deure d’informar del tractament, el que constitueix una garantia per la persona candidata. I ho ha de fer d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.

Vida laboral. L’empresa, acreditant un interès legítim, pot sol·licitar un informe de vida laboral per comprovar la veracitat i experiència del currículum.

Oferta de treball. Les ofertes de treball s’han de redactar en termes neutres (no demanar sexe, edat, raça, creences polítiques o religioses, etc.) i recordar que les funcions especificades són vinculants. I si s’inclou l’alternativa de teletreball, el candidat ho pot reclamar posteriorment sinó se li proporciona.

Entrevista de feina. En l’entrevista de feina, les respostes no equivalen a un consentiment i si fem preguntes sobre dades de categoria especial (salut, orientació sexual, opinions polítiques, afiliació sindical, dades genètiques, etc.) s’hauran de prendre mesures addicionals. Evitem anotar judicis de valor i vigilem si les dades recollides poden donar lloc a discriminacions contraries al principi constitucional d’igualtat. Suposaria una infracció administrativa greu.

Xarxes socials. Les persones candidates no estan obligats a permetre la investigació de l’ocupador en el seus perfils de les xarxes socials, tret de supòsits específics i sempre que sigui informada.

Conservació i eliminació. Acabat el procés de selecció, si la persona no és contractada es serà necessari el seu consentiment per un futur tractament, tret que l’ocupador pugui demostrar interès legítim (base de legitimació). Si no, eliminarà el currículum amb tota la documentació associada.

Mesures de seguretat. L’empresa ha de garantir la confidencialitat i el secret professional, fins i tot, quan hagi acabat la relació. Per això ha de tenir implementades les mesures de seguretat que garanteixen, a més, la disponibilitat i la integritat de les dades.

Naturalment, hem recollit aquí algunes, no totes, de les situacions més comuns que es poden donar en el tractament de dades durant el procés de selecció de candidats. Com sempre, és important un bon assessorament professional que impedeixi cometre errors que ens poden donar sorpreses desagradables.

Cuideu-vos!

Nota: el contingut del post no pot substituir en cap cas l’assessorament professional que podeu demanar aquí.

Revisió Texts legals web