Uncategorized @ca

El passat dimarts 13 va entrar en vigor la nova Llei del Teletreball que regula el treball a distancia. La norma  vol donar forma jurídica a les relacions laborals en el marc del teletreball, una realitat que cada dia s’imposa més. I no sols per la pandèmia, accelerador de la transformació digital com cap altre, sinó perquè ambdues parts –treballador i empresa– hi han trobat avantatges que en molts casos superen a les desavantatges.

I, com és natural, situacions jurídiques que coneixíem del treball presencial, continuen estan presents a la nova normativa. Així com parlàvem fa poc de la desconnexió digital (arran d’una multa de l’AEPD), ara cal parlar una altre vegada dels drets del treballador –sobretot intimitat i privacitat– i també de la potestat discrecional que té l’empresari, tot complint la normativa, en l’àmbit del teletreball.

En el context del teletreball tot és més complex per diferents raons: per la novetat (vull dir, inexperiència), l’ús intensiu de la tecnologia, la falta de mitjans i de cultura de teletreball, el respecte als drets dels uns i dels altres, la supervisió de l’empresari i altres aspectes que tots hem patit aquests darrers mesos (com, per exemple, fer una videoconferència des del saló de casa amb els nens corrent amunt i avall).

El teletreball ha arribat per quedar-se. I la normativa, també. El futur es planteja amb soluciones mixtes –presencial i a distancia, en proporcions variables segons situacions– i la normativa ha de ser prou flexible per proporcionar possibilitats abans que retallar-ne. I si volem ser competitius, entre tots hem de fer-ho possible.

I en aquest context, la Llei faculta a les empreses (article 22) a “adoptar les mesures que estimin més oportunes de vigilància i control per verificar el compliment per la persona treballadora de les seves obligacions i deures laborals, incloent-hi la utilització de mitjans telemàtics”. I en l’article 17, Dret a la intimitat i a la protecció de dades,  diu “La utilització dels mitjans telemàtics i el control de la prestació laboral mitjançant dispositius automàtics garantirà adequadament el dret a la intimitat i a la protecció de dades”.

Exposades les condicions, ara és necessari aterrar les qüestions jurídiques plantejades. Per això haurem de respondre a múltiples preguntes:

• Quins programes i dispositius pot fer servir l’empresari per controlar els treballadors?
• L’empresa ha de proporcionar els mitjans informàtics i de comunicacions al treballador?
• Com es fa efectiu el dret a la desconnexió digital (a través del Registre de jornada?)?
• Pot l’empresari obligar al treballador a instal·lar determinats programes en el seu portàtil?
• I a fer servir la seva connexió wifi? I el mòbil?

La Llei imposa a l’empresari l’obligació d’informar als treballadors dels protocols d’ús dels dispositius electrònics i les vies per les quals las tasques poden ser monitoritzades. I tot això amb dos límits: la intimitat i la protecció de dades del treballador, tot observant els principis de “idoneïtat, necessitat i proporcionalitat”.

Com podem veure, ens queda un llar camí per endavant. I l’hem de recórrer ràpid i bé. No hi ha una altre.

L’augment imparable de la ciberdelinqüència es un fet al nostre país i a tot arreu. Segons un Informe de Cibercriminalitat del Ministeri de l’Interior de 2019, els ciberdelictes ja representen el 10%  de les infraccions penals conegudes. I els fraus a Internet són el segon delicte més comú per darrere dels furts.

I aquest fet no ha fet més que empitjorar en temps de pandèmia. El teletreball a corre cuita, sense mitjans i sense preparació per part de les empreses i treballadors ha sigut un camp abonat per tota mena de fraus, estafes i, el que més ens importa ara i aquí, els ciberatacs a les empreses.

Check Point, proveïdor especialitzat en Ciberseguretat a nivell mundial, en el seu Informe “Cyber Attack Trends: 2020 Mid-Year Report”, mostra com els cibercriminals s’han aprofitat del Covid-19 per llençar campanyes contra les empreses de tot el món i tots els sectors, incloent-hi governs, infraestructures crítiques, institucions sanitàries, proveïdors de servei, usuaris finals i altres. Les dades assenyalen que les empreses espanyoles han patit més de 450 ciberatacs setmanals de mitjana. I les xifres no paren d’augmentar. Per part nostre, apuntar que aquest any, per primera vegada, alguns clients han patit atacs en el núvol (ransomware, encriptació de dades amb petició de rescat).

I tot això, que és necessari conèixer, que té a veure amb la protecció de dades? Doncs té molt a veure en dos vessants: d’una part, per l’obligació que té el responsable del tractament de preservar adequadament les dades personals que l’hi són encomanades. I per l’altre, la possibilitat que té l’empresa d’aprofitar la adequació al Reglament per fer extensiu a tots els intangibles de l’empresa les mesures implementades.

En efecte, d’acord amb el Reglament General de Protecció de Dades (RGPD), la primera mesura que ha d’impulsar el responsable és un Anàlisi de Risc que permeti valorar els riscos que s’assumeixen al tractar dades personals. A partir d’aquesta valoració, el responsable ve obligat a implementar, de forma discrecional (partint de la responsabilitat proactiva), mesures tècniques i organitzatives per tal de garantir la seguretat de les dades.

I la nostra recomanació és estendre l’Anàlisi de Risc a la resta d’actius intangibles de l’empresa (know-how, projectes, patents, marques, plans de màrqueting, clients, etc.) i, un cop feta la valoració global, ampliar i reforçar les mesures de seguretat que, a més de garantir el compliment de la normativa en matèria de protecció de dades, preservi tot el nostre patrimoni empresarial intangible i, sobretot, que preservi la nostra reputació.

Imatge Pixabay

El “màrqueting de permís” és un terme encunyat per Seth Godin ja fa anys en el seu llibre “Permission Marketing”, en el que exposa aquest concepte que va revolucionar la manera en que els professionals del màrqueting enfocaven aquest mitjà. La pregunta és, si fa vint anys que va exposar la seva teoria en força èxit, perquè costa tant entendre el concepte des del punt de vista de la Protecció de Dades si tots dos estan força alineats.

L’article 4.11 del RGPD (Reglament General de Protecció de Dades) defineix el “consentiment de l’interessat” com “ tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen”. Això no vol dir, és clar, que sigui fàcil aconseguir el permís dels teus clients potencials. Però si volem tenir èxit en el llarg termini, cal considerar-ho com una inversió que donarà els fruits al llarg del temps.

I aquesta definició coincideix fil per randa amb el concepte de Godin. De fet el subtítol del llibre és “Turning Strangers into Friends, and Friends into Customers”, o el que és el mateix, “Convertint Desconeguts en Amics, i Amics en Clients”. De fet, el mateix Godin acaba la frase convertint els Clients en Venedors”.

Per una d’aquelles coincidències còsmiques, el llibre es va publicar el 1.999, el mateix any que a Espanya es promulgava la LOPD (Llei Orgànica de Protecció de Dades). Si en aquell moment haguéssim començat amb el màrqueting de permís, complint amb la normativa de Protecció de dades, ara tindríem unes sòlides relacions establertes sobre la base de la confiança. Però sempre hi ha un moment per començar i podria ser ara.

Perquè el màrqueting de permís és Anticipat (l’usuari espera rebre el teu missatge), Personal (els missatges estan directament relacionats amb la persona i Rellevant (el missatge té interès per el receptor). I això coincideix cent per cent amb la normativa de protecció de dades.

El revers de la moneda és el màrqueting d’interrupció que no respecta a l’usuari perquè no demana el seu permís, és invasiu i genera rebuig i desconfiança. Fem les coses ben fetes perquè com deia fa molts anys un eslògan institucional “la feina ben feta, no té fronteres; la feina mal feta, no té futur”.

Imatge Pixabay

És una consulta freqüent. Ja em vam parlar en un post, allà per el mes de maig, sobre els texts legals de la web. El que interessa explicar avui és que per tenir una web legal es necessari que l’empresa com a tal compleixi amb el Reglament General de Protecció de Dades (RGPD). No en hi ha prou amb que els texts legals tinguin aparença de legalitat, necessitem fer més coses.

A Internet és freqüent trobar tota mena de texts legals. A banda dels correctes (en denominació ii contingut), podem veure texts amb noms inventats (Termes i condicions d’ús de Privacitat), text copiats (“afusellats”, amb el perill que suposa fer servir els texts d’una altre empresa), texts incomplets i una llarga casuística de la que ens ocuparem un altre dia.

Avui vull cridar l’atenció a les empreses que fan servir texts sense haver-se adequat al Reglament. Comencem per dir que els texts legals que apareixen a la web són la part pública de l’adequació. Però per disposar d’aquests texts, l’empresa té que, prèviament i entre altres, haver fet un Anàlisis de Riscos, tenir un Registre d’Activitats de Tractament, definir una Estructura tècnica i organitzativa, haver establert les Mesures de seguretat corresponents, signar els necessaris Acords de confidencialitat amb els empleats i el Contractes d’encarregat de tractament amb empreses terceres que tracten dades per compte nostra, generar els Protocols de informació i comunicació (clàusules de tractament, Internet, Drets de l’usuari, …) y produir els Informes reglamentaris.

Només quan l’empresa està adequada al Reglament es pot generar la Política de Privacitat i els textos necessaris per els formularis que recullen les dades personals del usuaris. Naturalment, hi haurem d’afegir altres texts que depenen d’altres normatives, segons el cas, com són l’Avís legal, la Política de Cookies (amb el banner corresponent) i les Condicions de Contractació (si tenim una botiga virtual).

Copiar els texts d’un altre web (o pràctiques similars) perquè no tenim l’empresa adequada és un frau que està perseguit per les autoritats. I és força fàcil detectar-ho i, per tant, sancionar-ho.

La Protecció de dades no és complexa però s’ha de fer bé. En els supòsits més senzills, el propi usuari la pot implementar seguint les indicacions de l’Agència Espanyola de Protecció de Dades (AEPD) a través del programa FACILITA. Per la resta, recomanem buscar l’ajuda d’un professional.

Recordem que implantar la Protecció de Dades té un cost cert i moltes avantatges com evitar costos reputacionals i sancions i generar confiança entre empleats, clients, proveïdors, entre altres. No tenir un programa de Protecció de Dades, en canvi, pot tenir un cost incalculable.

Imatge Pixabay

Ja ens vam referir en un post anterior (‘Efecte Brussel·les’: cop de puny de la UE sobre la taula) a la decisió del Tribunal de Justícia de la Unió Europea (TJUE) que invalidava l’acord conegut com “Privacy Shield”  que garantia que les empreses americanes adherides al mateix, més de 5.000, aplicaven els mateixos estàndards de protecció de dades que les empreses europees regides per el RGPD. Aquesta decisió permetia, entre altres coses, que les transferències de dades entre països adequats i els Estats Units es poguessin realitzar com si d’un país europeu adequat es tractés.

La raó, segons diu el Tribunal, és que la normativa interna americana relativa a l’accés i utilització de dades personals per les autoritats no ofereix les garanties suficients ja que els programes de vigilància no es limiten a lo estrictament necessari, vulnerant el principi de proporcionalitat.

 I aquesta decisió comporta, naturalment, conseqüències en diferents ordres de valor i per diferents sectors. El que ens ocupa aquí és el sector del màrqueting perquè moltes empreses del sector utilitzen plataformes d’enviament massiu, per exemple MailChimp, que estan ubicades en els Estats Units. Com sigui que el Privacy Shield s’anul·lat sense període de transició ni moratòria alguna, tots els fluxos s’han quedat sense suport legal i, en rigor, s’haurien de suspendre (des de el passat 16 de juliol, data de la sentència).

En el moment d’escriure aquestes línies no es veuen alternatives de compliment plenament satisfactòries. L’única solució, ara mateix, és moure les dades personals a plataformes ubicades en territori europeu (si cal, canviant de proveïdor). Som conscients de les dificultats operatives de fer això en la majoria dels casos, sobretot si suposa canvi de proveïdor.

Les demés solucions, com per exemple recavar el consentiment explícit dels usuaris o subscriure amb l’importador noves o millorades clàusules contractuals tipus, no són fàcils d’implementar i, hores d’ara, no està clar que compleixin la legalitat. S’ha d’estudiar cas per cas.

Us recomanem insistentment que demaneu consell professional si us trobeu en la circumstància de tenir que tractar dades personals que s’allotgen en servidors als Estats Units. No us la jugueu!

Imatge Pixabay

Llegíem dies enrere que un alumne ha demandat a la Universitat de Córdoba per la videovigilància en els exàmens online. L’estudiant entén que amb aquest sistema “es viola el dret a la intimitat del domicili i que no hi ha base legal per fer-ho”. El jutjat número 3 de la plaça l’ha admès a tràmit i s’han sol·licitat mesures cautelars.

Ens trobem amb un exemple clàssic de conflicte entre Tecnologia i Privacitat. I no és l’únic aquests dies: el de la presa de temperatura n’és un altre per qüestions de privacitat dels usuaris.

Hem de començar a assumir que les coses no tornaran a ser com abans. Es més, no hauríem de voler que fos així. Hem d’entendre que, un cop superada la pandèmia, la majoria de coses que hem fet i les tecnologies que hem aplicat, les hem de continuar fent-les servir, més intensament i millorades en la mesura que puguem. Tot allò que es pugui fer a distància (teletreball, telemedicina, teleeducació, telejustícia, etc.), s’ha de fer més i millor. Això redundarà en una millora de la productivitat, del medi ambient i de la conciliació laboral, entre altres. Un procés en el que trobarem inconvenients de tot tipus (tot i que durant la pandèmia ho estem fent tots prou bé) que hem d’anar superant per mirar endavant i no tornar a pràctiques inassumibles a aquestes alçades de segle.

I un inconvenient a resoldre es la intrusivitat de les tecnologies pel que fa a la nostra vida privada i en els nostres drets com a ciutadans. El titular de la notícia n’és un clar exemple. La Universitat, per pressió de donar una resposta acadèmica a la situació, segurament no ha plantejat adequadament la qüestió.  Però cal aplaudir la valentia de voler implementar una solució tecnològica d’eproctoring [i] a un problema al que cal enfrontar-nos per moltes raons que aquí no toca exposar però que tots tenim en el cap.

Per acabar, dos consideracions jurídiques de la noticia. Sorprèn, sense haver llegit la demanda, que sigui per violació de la intimitat de domicili i no per protecció de dades. Tenim en compte que l’alumne està advertit per endavant  i que pot situar la càmera com li sembli més oportú (fins i tot posar un fons virtual) , sembla difícil que es violi la intimitat. Però temps hi haurà per seguir el tema amb calma.

L’altre consideració es recordar que qualsevol intromissió en la intimitat ha de tenir una regulació per Llei Orgànica perquè afecta al dret a la privacitat, regulat per l’article 8.1 del Conveni Europeu de Drets Humans (CEDH) i l’article 18 de la Constitució Espanyola (CE).

Com sempre, cuideu-vos!

[i] El e-proctoring, és a dir la supervisió tecnològica, és l’àmbit de treball actual pel que fa referència als exàmens online. Un exemple d’eina d’aquest estil és Smowl que registre a l’alumne, monitoritza la seva identitat constantment, s’analitzen les imatges amb un reconeixedor facial i, finalment, es certifica que l’alumne ha fet per ell mateix l’examen. Fins i tot verifica la IP d’accés i si altres usuaris la estan fent servir simultàniament. L’aplicació garanteix la privacitat amb una estructura per capes, separant les dades de les imatges.  Entre els seus clients es troba La universitat Oberta de Catalunya (UOC).

Aquesta és una consulta recurrent. I acostuma a anar acompanyada d’expressions com “si som molt petits” o “qui vols que ens denunciï” o “ho tinc pendent però no tinc temps” o “això és per Google o Facebook” o similar.

Doncs en aquest tema hi ha, com sempre, bones i males notícies. Veiem. 

Començaré amb unes quantes declaracions que, no per òbvies, hem de deixar d’insistir. La primera és que en un estat de dret, les lleis són iguals per tothom. En l’àmbit empresarial i pel que fa a la protecció de dades, el Reglament (UE) 2016/679 del Parlament Europeu i la Llei Orgànica 3/2018, de 5 de desembre de Protecció de Dades estableixen sancions en funció de la gravetat de les conductes i no pas en funció de la mida de l’empresa. Com es natural, una empresa petita pot tenir una conducta impròpia com Facebook i serà sancionada igualment. Això sí, l’empresa petita pot haver posat en risc o compromès un número petit de dades mentre que en el cas de Facebook poden ser milions. Per tant, la sanció serà menor però es sancionarà, sens dubte.

I sí, et poden sancionar per la pàgina web i per diversos motius com són que falti algun document, que els documents no compleixin amb la normativa, que la política de cookies no sigui correcta i un llarg seguit de casuístiques a les que hem de prestar atenció.

I es poden sancionar totes les web, independentment de l’extensió que tingui. No només les .es que corresponen a Espanya, sinó el .cat, el .com i tots els dominis. El Reglament aplica a qualsevol tractament de dades de ciutadans europeus, sense tenir en compte el domini i es pot sancionar a qualsevol web del món que infringeixi lo estipulat en la llei de protecció de dades europees.

Les sancions es classifiquen en molt greus, greus i lleus. Entre les primeres podem citar el no tenir un procediment per l’exercici dels drets dels usuari, tractament de dades de forma il·lícita (falta de consentiment, compra bases de dades, …), consentiments recollits incomplint la llei, fer servir les dades per finalitats diferents de les explicades al recollir el consentiment o no facilitar l’accés a l’autoritat de control l’exercici de les seves potestats d’investigació, entre altres.

Pel que fa a les greus estan, a tall d’exemple, el tractament de dades de menors sense el consentiment adequat, contractar un encarregat sense garanties, no aplicar les mesures organitzatives o tècniques adequades.

No ens allargarem amb les lleus. Només recalcar la importància de que la nostre web estigui adequada a la llei, no només per prevenir les sancions sinó per transmetre la percepció de que fem les coses bé i que tenim la màxima cura per les dades que per totes les altres coses que fe a l’empresa.

Ah, i recordar que la web és la part externa i visible de l’empresa. I que cal adequar també la part interna. Però això serà en un altre post.

Sembla mentida com passa el temps! Aquesta frase tant soferta serveix per moltes situacions a la vida, fins i tot per recordar que el 2003 LinkedIn no existia. Per el cas, tampoc existia Facebook. I ara mateix són xarxes social capdavanteres amb 690 i al voltant de 2.500 milions d’usuaris respectivament.

LinkedIn va sortir a Bolsa l’any 2011 i el 2016 va ser comprada per Microsoft, que la va incorporar al seu ecosistema, per l’astronòmica quantitat de 30.000 milions de dòlars. La xarxa professional per excel·lència es va consolidar definitivament. Lluny queden aquells inicis dels ’90 amb les BBS o els fòrums de Usenet o Compuserve. I fins i tot, Friendster, creada tot just 3 mesos abans que LinkedIn. Totes elles ja fa molt temps en el bagul de la història. De vegades convé mirar enrere per saber d’on venim. I, estar clar, mirar endavant per saber on anem.

Quan em pregunten quina és la primera xarxa social a la que m’haig d’apuntar, la resposta és sempre la mateixa: LinkedIn. Sens dubte. Després et pots apuntar a una o dos més (no gaires més per poder gestionar-les eficientment i no ser un esclau) segons afinitats i interessos. Si estàs en actiu no et pots permetre no estar a LinkedIn. I quan dic “estar” em refereixo a tenir una presència (bona pàgina –fotografia, currículum actualitzat, definició d’interessos clara, etc.–) activa (que vol dir que els “likes” no venen). Vol dir que ha de reflectir la teva imatge professional de la millor manera possible. I que hi has de participar amb articles i comentaris que reflecteixin la teva capacitat professional. Si no és així, més val que no facis res.

I en temps de pandèmia les xarxes socials han incrementar notablement la seva activitat de forma exponencial. Si estem confinats, hem de refiar-nos de les opcions virtuals per fer negocis, contractar professionals, oferir els nostres productes i serveis i veure els de la competència i un seguit de iniciatives que han passat del món real al virtual.
I quan superem la situació, les xarxes socials s’hauran tornat imprescindibles. Com tantes altres iniciatives virtuals que hem “descobert” aquests mesos –teletreball, compres online, videoconferències, emmagatzematge al núvol, treballar sense paper, etc.– i que han arribat per formar part del nostre ecosistema virtual de treball, professional i personal.
Per tant, acostumem-nos a tenir presents les nostres xarxes, especialment les professionals. Han esdevingut imprescindibles.

I quan superem la situació, les xarxes socials s’hauran tornat imprescindibles. Com tantes altres iniciatives virtuals que hem “descobert” aquests mesos –teletreball, compres online, videoconferències, emmagatzematge al núvol, treballar sense paper, etc.– i que han arribat per formar part del nostre ecosistema virtual de treball, professional i personal.
Per tant, acostumem-nos a tenir presents les nostres xarxes, especialment les professionals. Han esdevingut imprescindibles.

I com sempre, cuideu-vos!

L’advocacia en general ha arribat més tard que altres sectors a les xarxes socials. Primer  perquè sempre hi ha hagut reticències a fer publicitat (hi havia un temps que fins i tot la publicitat estava prohibida). Més tard perquè semblava que era cosa de joves i es considerava un canal poc seriós per comunicar-se. I, per últim, la barrera tecnològica que feia difícil (no tant sols per els advocats però especialment per ells) l’accés a aquests mitjans.

Però poc a poc, i encara que falta molt, els advocats han anat obrint camí i ara, tot i no ser majoritaris, ja hi ha molts que tenen presència en les xarxes socials. No en totes, es clar, però sí en les principals com Linkedin, Twitter o Facebook. I just quan començàvem a explorar aquests nous indrets de les xarxes ens trobem, de cop i volta, en mig d’una pandèmia que, hores d’ara, no sabem ni quan ni com acabarà.

Però hi ha dos tendències que semblen clares: la transformació digital ha arribat per quedar-se i el teletreball augmentarà la seva quota de participació en el mercat de treball. El coronavirus ha impulsat decididament les dos iniciatives d’una manera que fins fa dos mesos era impensable.

I ara què? I si la pandèmia, esperem que no, dura dos anys? I si, quan passi, les regles del joc han canviat? Doncs que les xarxes socials (i les tecnologies de la informació i la comunicació en general) tindran un extraordinari reconeixement en sectors com l’advocacia, fins ara dubitatius i reticents. No hi una altre. Com sinó aconseguiran clients els advocats si està tothom confinat? El temps de confiar en la placa de la porta perquè entri un client han passat definitivament.

I ara toca fer una formació intensiva en xarxes. Perquè les comunicacions s’han d’adreçar a resoldre els problemes que sorgeixen en el dia a dia (ho hem vist amb els temes laborals o els problemes de seguretat de les aplicacions de videoconferència com Zoom) i són rellevants per la nostra audiència. En cas contrari, no tindran i no ajudaran a posicionar el despatx.

Per acabar, uns quants consells per comunicar en les xarxes en els temps que corren.

• Proporcionar contingut valuós. Si no tenim res interessant que dir, més val callar.
• Monitoritzar les informacions de interès, per exemple converses, en les que podem participar donant la nostra opinió.
• Aprofitar aquestes setmanes per establir relacions (tots estem més receptius) amb companys i col·legues.
• Revisar el que hem escrit recentment (per exemple, durant aquest any).
• Valorar donar-se d’alta en una nova xarxa social (valorant la idoneïtat, calculant l’esforç i el retorn).

I, com sempre, molts ànims!