Uncategorized @ca

Què en saps de Google Analytics?

per

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies  de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren  transferits al Estats Units sense suficient garanties de protecció.  El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes  Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!  

L’agressió sexual ja està passant al metavers

per

Meta afirma que els usuaris no ho feien servir correctament. La plataforma de realitat virtual  Horizon Worlds, amb prou feines acaba de presentar-se al públic, i els usuaris ja estan sent assetjats sexualment i fins i tot agredits, segons podem llegir a The Verge.

Comencem per el principi. Què és Meta? El passat mes d’octubre, per els que ho desconeixen, l’inefable Mark Zuckerberg va presentar Meta, la nova marca de Facebook, la finalitat de la qual serà donar vida al metavers i ajudar la gent a connectar-se, trobar comunitats i fer créixer negocis. En la presentació, Zuckerberg va explicar que, a partir d’ara, la seva companyia es centraria en aquesta en fer realitat aquesta idea, la del metavers, i, per tant, tenia sentit canviar el nom per reflectir millor els seus objectius: Facebook ara es diu Meta.

La realitat és que, segons sembla, el canvi de nom representa un intent per desfer-se de lo que els propis empleats consideren una marca tòxica i que afecta, cada dia més, a la percepció dels seus productes. La marca que fins fa uns anys era reconeguda i valorada, ha perdut la seva reputació, val a dir, que per els errors comesos per el seu fundador. Els escàndols de privacitat s’associen cada cop més amb la marca FB. Recordem només el de Cambridge Analytica que, tot i ser dels més famosos, no ha estat l’únic ni molt menys.

I què és el metavers? Podríem entendre-ho com un ciberespai evolucionat. En un sentit ampli, involucra una sèrie de tecnologies, la primera de les quals és la realitat virtual, caracteritzada per mons virtuals persistents que continuen existint, amb vida pròpia, encara que tu no hi siguis. L’accés al metavers es fa a través d’ulleres de realitat virtual com, per exemple, Oculus. El metavers obre nous horitzons i un munt de possibilitats. Com podia ser Internet a finals dels 70 del segle passat. Ningú sabia exactament com seria però tothom (els que estaven al corrent de la tecnologia) tenien la percepció que seria una cosa gran. Bé, al final esta sent una cosa immensa que no es veu on acabarà.

I tot això és per explicar que la plataforma de Zuckerberg ja ha patit la primera ensopegada. En efecte, ja han arribat les primeres denúncies per assetjament i fins i tot per agressió sexual. Segons un testimoni, “No només em van palpar ahir a la nit, sinó que hi havia altres persones que van donar suport a aquest comportament que em va fer sentir aïllada a la Plaça.”

La condició humana no canvia ni tant sols en el metavers. Comportament delictiu en uns i mirar cap un altra cantó, els altres. Està clar que ens hem d’adaptar el que ve perquè és inevitable. De manera similar a que no poden anar contra la llei de la gravetat, tampoc podem anar contra el metavers. Això sí, ja de bon començament hem de assentar les bases de convivència. Si no, se’ns anirà de les mans.

Com sempre, cuideu-vos (en el metavers, també)!

Quatre recursos per evitar la publicitat no desitjada i com exercir els nostres drets

per

Vivim en l’era de les dades. Tenim accés a tota mena d’informació, i, no obstant això, moltes vegades estem desinformats. La veracitat del que llegim en internet sovint és qüestionable. També vivim un bombardeig constant de comunicacions no desitjades que pretenen “informar-nos” sobre algun producte o servei. Aquestes comunicacions solen fer-se a través de correus electrònics, missatges de text i trucades al telèfon mòbil.

En el post d’avui us facilitarem quatre recursos per a evitar la publicitat no desitjada:

  • Evita donar el teu consentiment. Aquest es pot donar de moltes maneres. La majoria de les vegades ens presenten una oferta o descompte a manera d’ham i per a poder gaudir-ho hem de marcar una casella on ens sol·liciten el consentiment per a enviar-nos publicitat. Ja està, ja hem picat.
  • Inscriu-te en una llista d’exclusió publicitària. A Espanya només existeix una oficial, que és la Llista Robinson. És un servei gratuït per als ciutadans, en el qual només has d’inscriure’t i indicar per quins mitjans no vols rebre publicitat: telèfon, correu postal, correu electrònic o SMS. Un cop inscrit, només podran enviar-te publicitat les empreses a les quals hagis donat el teu consentiment. Malgrat inscriure’ns en la llista, podem continuar rebent comunicacions publicitàries d’empreses a les quals hàgim donat el nostre consentiment anteriorment. Recordeu que podem revocar en qualsevol moment el consentiment exercint els nostres drets.
  • És necessari crear un perfil d’usuari? Tots ens descarreguem apps cada mes. Moltes vegades ens les descarreguem, ens creem un perfil cedint part de les nostres dades, i després ens oblidem d’aquesta app o fins i tot l’esborrem. Tot i així, el nostre usuari segueix actiu amb les nostres dades personals i amb les comunicacions comercials actives.
  • Exerceix el teu dret d’oposició i de supressió. El Reglament diu que “Si no desitges que una determinada empresa tracti les teves dades amb finalitats publicitàries, pots exercir el teu dret d’oposició davant el responsable perquè t’exclogui de les campanyes publicitàries que realitzi”. De la mateixa manera, pots exercir el teu dret de supressió. Si ets client de l’entitat que t’envia publicitat, és preferible que exerceixis el dret d’oposició, ja que la finalitat última del dret de supressió és l’eliminació de les dades en l’entitat.

Per a exercir els vostres drets podeu consultar-nos a nosaltres o bé podeu utilitzar els models en castellà facilitats per l’Agència Espanyola de Protecció de Dades (AEPD) o bé en català, facilitats per la Autoritat Catalana de Protecció de Dades.

Com sempre, cuideu-vos!

Candidats, currículums i empreses

per

Passat l’estiu comença un nou curs acadèmic, polític, judicial, esportiu i, en general, en totes aquelles àrees socials que aprofiten les vacances per descansar. I, en el món del treball, a les empreses i persones candidates se’ls gira força feina. Unes, perquè volen contractar talent i les altres perquè volen fitxar per la millor empresa possible. En qualsevol cas i per tots, és un temps de presses i de nervis, també d’il·lusió, que, tot sovint, ens fan cometre errors. A uns i altres.

I això ve a compte d’un parell de notícies que afecten a les empreses i a les persones candidates.

La primera, molt recent, fa referència a la sanció imposada per l’AEPD a una empresa per no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals. En vam parlar dies enrere.

L’altre, de fa més temps, recollia el cas d’una candidata que va mentir en el seu currículum per aconseguir una feina a Austràlia. Va tenir que pagar una indemnització i, després, va anar a la presó. Un altre dia ens ocuparem d’aquest tema.

Les dos notícies juntes posen de manifest que empreses i candidats han d’observar unes regles del joc bàsiques per no infringir la normativa i entendre que no fer-ho pot tenir conseqüències, fins i tot, greus. Per això avui recollim, a tall de recordatori, algunes altres conductes a observar en el procés de selecció i contractació de persones a les empreses.

Consentiment. En la  fase de selecció no és necessari el consentiment de la persona candidata. L’empresa està legitimada perquè el tractament és necessari per l’execució d’un contracte en el que el candidat n’és part o per l’aplicació, a petició d’aquest, de mesures precontractuals (art. 6.1.b) RGPD).

Informació. L’empresa, en canvi, té el deure d’informar del tractament, el que constitueix una garantia per la persona candidata. I ho ha de fer d’una manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill.

Vida laboral. L’empresa, acreditant un interès legítim, pot sol·licitar un informe de vida laboral per comprovar la veracitat i experiència del currículum.

Oferta de treball. Les ofertes de treball s’han de redactar en termes neutres (no demanar sexe, edat, raça, creences polítiques o religioses, etc.) i recordar que les funcions especificades són vinculants. I si s’inclou l’alternativa de teletreball, el candidat ho pot reclamar posteriorment sinó se li proporciona.

Entrevista de feina. En l’entrevista de feina, les respostes no equivalen a un consentiment i si fem preguntes sobre dades de categoria especial (salut, orientació sexual, opinions polítiques, afiliació sindical, dades genètiques, etc.) s’hauran de prendre mesures addicionals. Evitem anotar judicis de valor i vigilem si les dades recollides poden donar lloc a discriminacions contraries al principi constitucional d’igualtat. Suposaria una infracció administrativa greu.

Xarxes socials. Les persones candidates no estan obligats a permetre la investigació de l’ocupador en el seus perfils de les xarxes socials, tret de supòsits específics i sempre que sigui informada.

Conservació i eliminació. Acabat el procés de selecció, si la persona no és contractada es serà necessari el seu consentiment per un futur tractament, tret que l’ocupador pugui demostrar interès legítim (base de legitimació). Si no, eliminarà el currículum amb tota la documentació associada.

Mesures de seguretat. L’empresa ha de garantir la confidencialitat i el secret professional, fins i tot, quan hagi acabat la relació. Per això ha de tenir implementades les mesures de seguretat que garanteixen, a més, la disponibilitat i la integritat de les dades.

Naturalment, hem recollit aquí algunes, no totes, de les situacions més comuns que es poden donar en el tractament de dades durant el procés de selecció de candidats. Com sempre, és important un bon assessorament professional que impedeixi cometre errors que ens poden donar sorpreses desagradables.

Cuideu-vos!

Nota: el contingut del post no pot substituir en cap cas l’assessorament professional que podeu demanar aquí.

Claus sobre Protecció de Dades en el treball

per

L’Agència Espanyola de Protecció de Dades ha publicat una guia sobre protecció de dades i relacions laborals. El document encara qüestions com la consulta de l’empleador a les xarxes socials, els sistemes  interns de denuncies (whistleblowing), el registre de la jornada laboral, la protecció de dades de les víctimes d’assetjament a la feina, els de les dones supervivents a la violència de gènere o l’ús de tecnologia wearable com element de control.

La protecció de dades en l’àmbit laboral sempre ha estat envoltada de polèmica. Fins fa poc, però, es mantenia en la col·lisió dels drets fonamentals del treballador respecte a la seva intimitat amb l’ús – i moltes vegades abús- de la tecnologia per part de la direcció empresarial. L’accés indegut a les comunicacions electròniques del treballador (cas Barbulescu) o la utilització indiscriminada de les càmeres de vigilància són dos dels exemples més coneguts.

L’Agència aborda ara temes de molta actualitat. Per exemple, l’ús de les xarxes socials per part dels departaments de selecció de personal que no  tenen permís per indagar en els perfils dels candidats, ni durant el procés de selecció ni durant l’execució del contracte, encara que el perfil sigui d’accés públic. L’empresa, fins i tot, no està legitimada per sol·licitar “amistat” als candidats perquè proporcionin accés a continguts dels seus perfils.

Pel que fa als sistemes interns de denuncies, s’admeten denuncies anònimes i, quan no ho sigui, la confidencialitat de la informació i del denunciat han de preservar-se. Només es podran accedir aquestes dades en cas de procediments disciplinaris i notificacions a les autoritats de fet constitutius d’il·lícit penal o administratiu.

Respecte el registre de jornada laboral, l’AEPD recomana que aquest sigui el menys invasiu possible, sense que sigui d’accés públic ni visible per tots. I aquesta informació no es pot fer servir per finalitats diferents com, per exemple, geolocalitzar al treballador.

L’Agència s’ocupa també de les víctimes d’assetjament a la feina i de la violència de gènere, atorgant amb caràcter general la consideració de categoria especial de les dades personals, considerant-los dades sensibles que requereixen una protecció reforçada.

L’Agència recorda que l’única base jurídica que legitima el tractament de les dades és l’execució d’un contracte de treball (a més del imperatiu legal o per un conveni col·lectiu).  I cal facilitar la informació corresponent, explicar els drets que assisteixen als treballadors en aquesta matèria i com exercir-los.

Són tots temes rellevants en l’àmbit laboral que, empresaris i treballadors han de tenir molt present en el dia a dia.

Cuideu-vos!

He llegit i accepto …

per

Així acaben (els que compleixen) els formularis web, just abans de prémer el botó d’Enviar.  La frase completa és “He llegit i accepto la Política de Privacitat” i inclou un casella per marcar (si no es marca, no es pot enviar el formulari) i un enllaç perquè l’usuari pugui navegar còmodament a veure les condicions en que presta el seu consentiment. I prestar-lo, o no, en funció d’aquestes condicions.

El consentiment és una de les bases de licitud de tractament més important i més àmpliament utilitzada de les que reconeix l’art. 6.1 RGPD. Hi ha d’altres com l’execució d’un contracte (per exemple, de serveis), per obligació legal (si ho demana un jutge) o l’interès legítim, vertader calaix de sastre per encabir permisos de tractament de lo més variat.

Els usuaris som cada dia més conscients de la importància de exercir el control sobre les nostres dades personals. Però, sabem realment el que acceptem quan prestem el consentiment? De veritat llegim la Política de Privacitat, les Condicions d’Ús o de Contractació? O, posats a demanar, llegim la Política de Cookies?

I el que és més important, a més de llegir, entenem el que diu? La comprenem? Som capaços d’anticipar les conseqüències de la nostra decisió? Estem manifestant una voluntat en base a una decisió racional i informada que manifestem de forma lliure i espontània? Perquè així ho exigeix el Reglament.

La qüestió no és senzilla de resoldre. Tot i que amb el RGPD les condicions del consentiment s’han endurit, la realitat és que al cap del dia hem de prestar el consentiment diverses vegades, des de comprar per internet fins a veure les notícies d’un diari, passant per infinitat de situacions quotidianes (per exemple, actualitzacions de apps que renoven les condicions) que ens esgoten i ens fan optar per marcar la casella del consentiment sense complir les condicions.

Això sense comptar en que a la xarxa trobem, encara, molts formulari que no tenen Política de Privacitat o que, si la tenen, no es clara, és llarga i farragosa amb la lletra molt petita i, en moltes ocasions, las finalitats del tractament no es corresponen amb la realitat o s’inclouen clàusules inacceptables per l’usuari.

Tots tenim clar que les nostres dades són molt valuoses per empreses que les monetitzen compartint-les o venent-les a intermediaris que creen perfils i fent servir tècniques de Big Data, Intel·ligència artificial i altres tecnologies punteres saben, cada dia més i millor, quins són els nostres hàbits, interessos i preferències.

Anem en compte a qui donem el nostre consentiment i fem el possible per llegir i entendre les polítiques de privacitat. És important.

Un altre dia explicarem com llegir i entendre un text legal de protecció de dades.

Mentrestant, cuideu-vos!

“Segueixes navegant” amb les cookies?

per

El passat 31/10/2020 es va acabar el termini que la Agència Espanyola de Protecció de Dades (AEPD) havia donat per adaptar-se a les noves Directrius del Comitè Europeu de Protecció de Dades que afectaven a la regulació que, fins el moment, existia sobre les cookies.

Concretament, les directrius giren en torn a dos qüestions principals:

  • La validesa de l’opció “Seguir navegant” com forma de prestar el consentiment per part dels usuaris.
  • Sobre la possibilitat de limitar l’accés a determinats serveis o continguts només als usuaris que acceptin l’ús de cookies. El que es coneix a la indústria com “mur de cookies”.

D’aquesta qüestió ja ens hem ocupat anteriorment (Cookies again … i Cookies s’ha acabat el temps). L’AEPD va publicar el juliol la “Guia sobre l’ús de les cookies” que ofereix orientacions més que obligacions. Les obligacions, que sí imposa la normativa, són el principi de transparència en la informació i la lliure prestació del consentiment amb una clara afirmació positiva. Per tant, l’opció de “seguir navegant” i els “murs de cookies” ja no són vàlides des del passat dia 31.

De totes formes, la qüestió no és pacífica. El passat 1 d’octubre, l’autoritat francesa de protecció de dades (CNIL) va publicar unes directrius que possibilita instal·lar cookies sense demanar el consentiment sempre que es compleixin determinats requisits.

D’altre banda, l’interès legítim que s’està fent servir a Espanya per molts avisos de cookies és una pràctica que, ja el passat setembre, el Comitè Europeu de Protecció de Dades va dir que no podia fer-se servir com fonament jurídic apropiat per a la instal·lació de cookies.

Mentrestant, la nostra recomanació és la d’adaptar-se per complir amb les obligacions certes que tenim en aquest moment: seguir navegant i els murs de cookies no són una opció. I hem d’actuar sota el principi de transparència de la informació (explicar a l’usuari quines cookies volem instal·lar i perquè les volem fer servir)  i el de lliure prestació del consentiment (fer servir únicament cookies tècniques i permetre a l’usuari fer una clara afirmació positiva respecte a la resta).

Així, a més de complir, transmetrem confiança als nostres usuaris. El que, al final, és, junt a evitar sancions, el que més ens interessa.

Nota: Tot això que hem dit és vàlid també per a les apps que es fan servir en tablets i mòbils.

Imatge Pixabay

L’AEPD publica els resultats del seu pla d’auditoria sobre la contractació de serveis a distància en els sectors de telecomunicacions i energia

per

La Agencia Española de Protección de Datos (AEPD) ha publicado un ‘Plan de inspección de oficio sobre contratación a distancia en operadores de telecomunicaciones y comercializadores de energía’ en el que analiza los tratamientos de datos en estos sectores y su adecuación a la normativa de protección de datos desde la perspectiva de la acreditación de la identidad del contratante y de los servicios contratados. 

Llegir  més

Revisió Texts legals web