Raimon Rosselló
Especialista en implantació i assessorament del RGPD i la LOPDGDD, amb visió per aportar un valor afegir a la filosofia "escoltar, proposar, acompanyar" de Windat en complementar el tractament de dades amb la seva formació en Sistemes de Gestió de la Seguretat de la informació (SGSI)
Dolors Martínez

Experta en protecció de dades. Implantació i auditora RGPD/E-PRIVACY. Amb àmplia experiència en àmbit de grans empreses tecnològiques. Sempre per endavant amb les constants actualitzacions normatives. Gestió documental per garantir la tranquil·litat dels clients.

Àngels Trujillo

Responsable de coordinar processos documentals durant la implantació del RGPD/E-PRIVACY. Execució de projectes, assistència i suport. L'experiència per saber estar sempre al costat de client, entendre les seves necessitats i inquietuds i donar solucions ràpides i eficaces. Normalment per telèfon, però també via xarxes socials.

Lídia Álvarez

Responsable de la supervisió i control de la gestió de l'empresa. Implementació d'eines tècniques i organitzacionals i avaluació d'ús i resultats. Amb gran capacitat analítica i proactiva per mantenir el rumb de tots els departaments de la companyia alineats amb els objectius generals.

Jordi Ventura
Assessor de pimes en l'àmbit de màrqueting amb àmplia experiència en l'apartat de l'estratègia empresarial i la comercialització. Expert en protecció de dades i implantació RGPD/E-PRIVACY. Sempre a prop del client. Escoltar i després proposar. I sempre acompanyar. Ajudar a qui vol que sigui al seu costat.
Juanma Muraday

Periodista, especialitzat en comunicació corporativa. Dins l'àmbit de l'empresa ha complementat la seva formació amb l'experiència al camp del màrqueting. És l'encarregat de traslladar la complexitat de RGPD al terreny pràctic, sempre de manera senzilla, clara i pedagògica.

KARINA OCHOA

Responsable de gestionar processos coordinació entre client i windat. Execució de projectes, assistència i suport. L'experiència per saber estar sempre al costat de client, entendre les seves necessitats i inquietuds i donar solucions ràpides i eficaces.

marti de castro

Especialista en implantació i assessorament del RGPD i la LOPDGDD, amb visió per aportar un valor afegir a la filosofia "escoltar, proposar, acompanyar" de Windat en complementar el tractament de dades amb la seva formació en Sistemes de Gestió de la Seguretat de la informació (SGSI)

Assessoria 360

Windat està format per un equip interdisciplinar orientat a donar el millor servei a professionals, pimes i grans empreses. Estem especialitzats en protecció de dades, però com que aquesta esfera és tan transversal, podem aportar valor en àmbits molt diversos dins les empreses i que pivoten al voltant de la privacitat, la seguretat i la gestió de la informació.

MIssió

Oferir un assessorament i serveis integrals, personalitzats, de proximitat i de qualitat, amb la finalitat de donar un valor afegit en la gestió estratègica del negoci de les empreses.

Visió

Ser una organització compromesa amb la societat, referent i innovadora en el desplegament de recursos en l’àmbit de la protecció de dades i la seguretat de la informació, generant confiança als nostres clients i professionals per tal de satisfer les seves necessitats.

Valors
Assessorament i serveis d’excel·lència com a objectiu.
La formació continuada dels nostres professionals com eix per oferir una atenció òptima.
Basar la presa de decisions en la participació.
Escoltar els clients i potencials clients.
Promoció d’aliances estratègiques amb associacions, unions empresarials, col·legis professionals, instituts, escoles de negocis del territori, per tal de contribuir a la difusió de la importància de la protecció de dades personals dels ciutadans.
Cerca de la millora continuada amb avaluacions sistemàtiques dels resultats de les nostres activitats.
24/11/2024

Invasió IA a les xarxes


Les xarxes socials estan utilitzant la intel·ligència artificial (IA) com una eina clau per optimitzar els seus negocis, però això planteja serioses preocupacions sobre la privadesa dels usuaris. Plataformes com X (abans Twitter), Meta (Facebook, Instagram i WhatsApp) i Google estan integrant IA als seus serveis, recopilant dades personals i públiques per entrenar els seus models.

La darrera incorporació és el xatbot Grok de X, que utilitza publicacions públiques i dades dels usuaris per millorar-ne el funcionament. Meta ha introduït IA a les seves aplicacions, permetent interaccions avançades com respondre preguntes, editar fotos i fins i tot imitar veus famoses. Google Fotos, per la seva banda, fa servir IA per organitzar imatges i reconèixer patrons detallats.

Tot i això, aquestes pràctiques solen implementar-se sense un consentiment clar i explícit dels usuaris. Les empreses modifiquen els termes de servei i els usuaris els accepten sense ser plenament conscients de les implicacions. Això planteja dubtes sobre el consentiment informat i la invasió de la privadesa, especialment en un context on les lleis que regulen l'ús de la IA encara estan en desenvolupament.

La recopilació massiva de dades no només afecta la privadesa, sinó que també perpetua un model de negoci que utilitza informació personal com a matèria primera. Mentre que les empreses prometen xifrat d'extrem a extrem i altres mesures de seguretat, continua existint desconfiança sobre com s'utilitza aquesta informació per entrenar sistemes d'IA.

En aquest context, és essencial que els usuaris s'informin sobre les configuracions de privadesa disponibles, revisin els permisos atorgats i limitin la quantitat de dades compartides en aquestes plataformes. A mesura que les xarxes socials expandeixen l'ús d'IA, el debat sobre l'equilibri entre innovació tecnològica i drets de privadesa es torna cada cop més urgent.

La veritat és que no és fàcil per a l'usuari poder protegir la seva privadesa en utilitzar xarxes socials que implementen intel·ligència artificial. La teoria recomana revisar les configuracions de privadesa i ajustar qui pot veure les publicacions o desactivar permisos no necessaris, com l'accés a la vostra ubicació. Igualment, encara que és tediós, llegir els termes dús per entendre com es faran servir les seves dades és clau. Quanta gent ho fa? Al final, hom es conforma a evitar compartir informació sensible o publicar només el que és necessari, però resulta del tot insuficient davant d'aquests gegants del tractament de dades.

Almenys, no caiguem en la ignorància i tractem de conèixer com les plataformes gestionen la nostra privadesa per adaptar-nos mínimament.

Jordi Ventura 

Jordi Ventura

24/10/2024

Escoles que posen fil a       l´agulla


És una decisió tan raonable que sembla mentida que hagi trigat tant de temps en prendre’s. I de fet, no és majoritària.

Molt recentment, s’està estenent entre les escoles el fet d’adoptar una nova política a les seves xarxes socials: no publicar imatges dels alumnes on se'ls pugui identificar clarament. Tot i comptar amb els permisos necessaris per utilitzar les imatges dels nens i nenes, han pres la decisió de prioritzar la seva privacitat i garantir que la seva presència a internet no els afecti negativament en el futur. Aquesta tendència ha estat ben rebuda per molts pares i tutors, que comparteixen la preocupació per la seguretat i privacitat dels seus fills en un món cada cop més digitalitzat.

Fins ara, els drets d'imatge dels menors s'havien sol·licitat per a usos molt concrets, com ara l'elaboració de materials educatius o internament dins de l'escola. Però amb l'auge de les xarxes socials, aquest control s'ha difuminat i s'ha obert la porta a una difusió massiva d'imatges. La publicació d'aquestes imatges a Instagram, Facebook o altres plataformes no només augmenta la visibilitat dels alumnes, sinó que també els exposa a riscos que sovint no són considerats prou. Aquests riscos inclouen des de l'ús no autoritzat de les imatges per part de tercers, fins a la possibilitat que aquestes imatges quedin arxivades permanentment en bases de dades accessibles en el futur.

Per això, cal aplaudir aquesta nova política per a la protecció de la identitat digital dels menors. Quan publiquem imatges d'ells a les xarxes, estem contribuint a crear una petjada digital que podria influir en el seu futur. Un nen que apareix en una fotografia avui potser no voldrà que aquesta imatge estigui disponible quan sigui adult. A més, les escoles han d'entendre que el context educatiu ha de ser un espai segur i protegit, on els alumnes es puguin desenvolupar sense la pressió que implica estar constantment exposats a l'escrutini públic. No cal, allà també, fomentar aquesta sobreexposició en els menors. Tots hem d’entendre que en un món hiperconnectat, mantenir la pròpia privacitat és essencial per preservar la nostra seguretat.

És important recordar que les imatges dels menors són especialment sensibles i, per tant, han de ser gestionades amb una cura extrema. Garantir la privacitat dels nens i nenes a les xarxes socials és una responsabilitat compartida per escoles, famílies i la societat en general. Amb mesures com aquesta, estem contribuint a crear un entorn més segur i respectuós per a les futures generacions.

Jordi Ventura 

Jordi Ventura

24/09/2024

Inici de curs sense mòbils, també per privacitat


Els darrers anys, l'ús de dispositius mòbils a les aules ha generat un debat candent sobre la seva idoneïtat i els riscos que comporta. Mentre que molts defensors argumenten que els telèfons mòbils i les tauletes poden ser eines educatives útils, aquesta posició topa amb una realitat preocupant: l'ús intensiu d'aquests dispositius fora de les aules ja afecta negativament el rendiment acadèmic dels estudiants. Incentivar el seu ús dins de l'aula sense que aporti cap valor afegit, no sembla el més adequat.

El temps excessiu que els joves passen davant de les pantalles fora de l'entorn escolar ha estat vinculat amb problemes d'atenció, manca de concentració i menys capacitat de retenció. Els estudiants es veuen constantment bombardejats per notificacions, xarxes socials i aplicacions que distreuen la seva atenció dels estudis. Aquest curs s'han pres mesures amb el suport de noves normatives per limitat formalment l'ús d'aquests dispositius durant les classes. Ja en farem la valoració.

Per si no n'hi hagués prou, hi ha una preocupació, que no hauria de ser menor, que també s'ha de considerar en parlar de dispositius mòbils a les aules: la privadesa dels alumnes. L'Agència Espanyola de Protecció de Dades (AEPD) ha estat clara a desaconsellar l'ús de mòbils i tauletes personals als centres educatius, sobretot quan hi ha altres recursos més adequats per aconseguir els fins pedagògics desitjats. L'ús d'aquestes tecnologies no només pot distreure, sinó que també posa en risc la seguretat dels estudiants en recopilar informació sensible.

En aquest sentit, l'AEPD adverteix que moltes de les aplicacions utilitzades a les aules sol·liciten dades personals dels alumnes, com la geolocalització, les preferències d'oci i fins i tot informació sobre el comportament. Això suposa un risc significatiu per a la seva seguretat i privadesa, ja que aquestes dades poden ser mal utilitzades o exposades a tercers. Per complir amb el Reglament General de Protecció de Dades (RGPD), els centres educatius, els professors i les administracions tenen la responsabilitat de controlar rigorosament l'ús d'aquests dispositius i aplicacions.

És imperatiu que les institucions educatives s'assegurin que les eines tecnològiques emprades a l'aula siguin segures i no comprometin la privadesa dels estudiants. Hi ha alternatives tecnològiques, com algunes plataformes educatives tancades o els recursos propis proporcionats pel mateix centre, que ofereixen més garanties en termes de protecció de dades i són també apropiades per assolir els objectius pedagògics sense exposar els alumnes a riscos innecessaris.

  


Jordi Ventura 

Jordi Ventura

24/07/2024

Com mantenir la teva informació segura en vacances.


És un clàssic recurrent, però mai insistim prou. Durant les vacances, és comú que baixem la guàrdia pel que fa a la seguretat de les nostres dades personals. Tot i això, és crucial mantenir certs hàbits per protegir la nostra informació. Permeteu fer el típic llistat de recomanacions pràctiques per assegurar les nostres dades mentre gaudim dels merescuts dies lliures.

 
Comencem per les xarxes socials. Abans de publicar res, considera els riscos. Compartir detalls sobre la ubicació, dates de viatge o fins i tot fotos sense el consentiment de les persones involucrades pot posar en perill la nostra privadesa i la dels altres. És recomanable ajustar la configuració de privadesa per limitar qui pot veure la nostra informació i evitar publicar documents que revelin dades personals o codis de barres.

 
Atenció amb el “gratis”. Evita connectar-te a Wi-Fi públiques, les quals són un blanc fàcil per als ciberdelinqüents. Sempre que sigui possible, utilitza la teva xarxa de dades mòbil o connecta't a través d'una VPN, cosa que xifrarà la teva connexió i la farà més segura. Desactiva la connexió automàtica a xarxes Wi-Fi i Bluetooth per reduir el risc d'atacs.

 
No abaixem la guàrdia per canviar de rutina. Durant les vacances, augmenta el risc de rebre correus electrònics fraudulents que busquen robar la vostra informació personal. Desconfia dels correus electrònics que sol·licitin informació financera o personal i evita fer clic a enllaços sospitosos. És important estar alerta i verificar l'autenticitat dels missatges rebuts.

 
I com sempre, la prevenció com la millor defensa. Ser proactiu i curós amb la informació que compartim i els dispositius que utilitzem ens ajudarà a mantenir la nostra informació segura. Utilitza contrasenyes segures i canvia-les regularment. Verifica els teus comptes periòdicament per detectar accessos no autoritzats o activitats sospitoses. També, assegureu-vos que els dispositius estiguin protegits adequadament. Bloqueja la pantalla i utilitza contrasenyes fortes. A més, xifra els dispositius d'emmagatzematge extraïbles per protegir la informació sensible i evita desar contrasenyes en llocs no segurs; utilitza gestors de contrasenyes o emmagatzema-les en un mòbil protegit amb contrasenya o empremta dactilar.

 
Estigues informat sobre les millors pràctiques en seguretat digital i aplica aquests consells per gaudir d'unes vacances tranquil·les i segures.
La seguretat de les teves dades és responsabilitat de cada dia, no només quan ets a casa. Bones vacances!  


Jordi Ventura 

Jordi Ventura

24/06/2024

Un pas controvertit cap al futur de la IA.


Recentment, l'empresa Meta, propietària de Facebook o Instagram, ha generat un enrenou significatiu entre els seus usuaris en anunciar que, a partir del 26 de juny, utilitzarà les dades dels seus perfils, fonamentalment fotos i textos, però també il·lustracions, dissenys, creacions musicals… per entrenar els seus models d'intel·ligència artificial (IA). Aquest anunci ha provocat un debat acalorat sobre els límits de l'ús de dades personals i la protecció de la privadesa.

 
El missatge ha estat clar: tota la informació que els usuaris han compartit amb la plataforma pot ser utilitzada per millorar els seus algorismes d'IA. La notícia ha estat rebuda amb sorpresa i preocupació per part dels usuaris, que veuen en aquesta mesura una invasió a la seva privadesa i un ús indegut de les seves dades personals.

 
Un dels punts més controvertits de la comunicació de Meta és la manera com els usuaris poden optar per no participar en aquest procés. Tot i que l'empresa ha ofert la possibilitat de negar-se, el camí per fer-ho és llarg i feixuc. Requereix que els usuaris completin diversos passos administratius, enviïn correus electrònics específics i esperin confirmacions que poden demorar setmanes. Aquest procés, deliberadament complex, desincentiva els usuaris a passar a l’acció, cosa que ha estat objecte de severes crítiques.
L'ús de dades personals per entrenar models d'IA és una pràctica cada cop més comuna a la indústria tecnològica. Les empreses argumenten que aquesta metodologia és essencial per al desenvolupament de sistemes més eficients i precisos, que poden oferir serveis millorats i personalitzats. No obstant això, aquest progrés no hauria de ser a costa dels drets individuals de privadesa.

 
Tot i que l'avenç de la tecnologia és vital per al progrés, això no justifica pràctiques que violin els drets i la confiança dels usuaris. Les dades personals són valuoses i sensibles, i han de ser gestionades amb la màxima transparència i respecte per part de les empreses.
En lloc de facilitar un mètode senzill i directe perquè els usuaris puguin exercir els seus drets, l'empresa ha optat per un enfocament que sembla dissenyat per descoratjar qualsevol objecció.

 
Aquest tipus de tàctiques erosiona la confiança en una empresa. Les organitzacions han de ser responsables i facilitar als usuaris el control sobre les seves dades. Implementar processos transparents i accessibles no és només ètic, sinó que també reforça la confiança del consumidor i millora la reputació de l'empresa.

 
Si bé és comprensible que les empreses tecnològiques necessitin dades per millorar els seus serveis, això no s'ha de fer a costa de la privadesa i els drets dels usuaris. És essencial trobar un equilibri que permeti l'avenç tecnològic sense sacrificar els principis bàsics de privadesa i consentiment informat.

 
Prenguem el cas com una crida d'atenció per a totes les empreses que manegen grans quantitats de dades personals. La transparència, la facilitat d'accés i l'opció d'exclusió real han de ser pilars fonamentals en la política de dades de qualsevol organització. Només així es pot avançar cap a un futur en què la tecnologia i els drets individuals coexisteixin de manera harmònica i respectuosa.

Jordi Ventura 

Jordi Ventura

24/05/2024

Més conciència, més denúncies.


Més consciència, més denúncies
El número és espectacular, si més no pel que fa al percentatge. I és que parlem d’un augment de gairebé el 37% entre un any i altre. Aquest és el titular més cridaner de la memòria anual que ha publicat recentment l’Autoritat Catalana de Protecció de Dades (APDCAT) i en la qual detalla que ha gestionat un total de 843 denúncies i reclamacions durant el 2023, un increment respecte al 2022 que atribueix principalment a una major consciència ciutadana sobre la protecció de dades i un millor coneixement dels drets associats.
En aquest sentit, almenys, podem dir que anem pel bon camí. Si coneixem els nostres drets i tenim eines a la nostra disposició, podrem defensar-los amb total consciència.

 
Així es pot veure en el detall que publica l'APDCAT, que ha investigat i instruït 443 casos aquest any, dels quals 293 han estat denúncies per incompliment de la normativa i 150 reclamacions per vulneració de drets. Això representa un augment del 40% en comparació amb el 2022. L’altra lectura, és clar, és que al marge que les persones siguin més coneixedores de com protegir la seva privadesa, algú a l’altra banda no està fent del tot bé la seva feina. El tractament de dades és una responsabilitat que hom no pot prendre’s a la lleugera.
I com diem, ja no és només per la satisfacció de fer les coses com cal. És que també pot implicar problemes més seriosos. Sí, les sancions. Pel que fa als procediments sancionadors, l'APDCAT ha iniciat 293 actuacions d’investigació prèvia durant el 2023. D’aquestes, 87 han culminat en resolucions, que inclouen amonestacions, sancions econòmiques i sobreseïments. Si ens fixem en les infraccions, els temes més recurrents tenen a veure amb els àmbits de la salut, la prestació de serveis a la ciutadania, els recursos humans i l’exercici de competències administratives.

 
La informació, la pedagogia, és fonamental en tot aquest entorn, per això crida l’atenció que havent superat les 2.000 consultes al servei d’atenció al públic de l’Autoritat Catalana de Protecció de Dades, més de 80% siguin qüestions plantejades per ciutadans individuals. És senyal que hi ha inquietud al voltant dels drets i deures derivats del Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD), així com per l'accés i la cessió d'informació que conté dades personals.

 
Una última dada a destacar. De quins temes pregunten a l’APDCAT els professionals de la protecció de dades que necessiten ajuda tècnica? Res del tot inesperat: videovigilància, la designació i comunicació del delegat de protecció de dades, l’elaboració i gestió del registre de les activitats de tractament, la revisió de clàusules informatives, el deure d’informació, la legalitat del tractament de dades (incloent-hi el consentiment), i el tractament i publicació d’imatges. N’hem parlat de tot plegat.

Jordi Ventura 

Jordi Ventura

24/04/2024

El focus, en la minimització


És molt difícil donar un únic consell per començar a fer entendre la protecció de dades. És impossible, de fet. Aquest àmbit és tan ampli i permet aproximacions tan diverses que establir un primer pas unívoc i general seria fins i tot temerari. 


Tanmateix, posats a ensenyar les cartes, ja que no podem guardar l’as per al final, que pot ser molt diversa, podem posar el focus en primera instància en un dels conceptes més rellevants del Reglament General de Protecció de Dades (RGPD), la minimització. 


Només el necessari i que estigui justificat. El principi de la minimització del tractament de dades personals és crucial en la salvaguarda de la privadesa dels ciutadans europeus en l'era digital, i tot i ser essencial, sovint és oblidat o ignorat per moltes empreses. No obstant això, assumir la minimització de dades no només és una obligació legal, sinó també una pràctica empresarial responsable que pot generar confiança i millorar les relacions amb els clients. 


La minimització de dades implica recopilar, processar i emmagatzemar només la informació personal estrictament necessària per a una finalitat específica. Cal tenir-ho present sempre, sigui quina sigui l'activitat empresarial, perquè serà estrany no haver de prendre una decisió en aquesta línia en molts moments de tota mena d’empreses, institucions o associacions. 


Sense anar més lluny, els típics formularis de registre de clients, que inclouen noms, adreces o números de telèfon, han de garantir que aquesta informació sigui necessària per al servei o producte que ofereixen. Una llibreria en línia pot necessitar aquestes dades obligatòriament per servir una comanda, però el gènere, l’edat, les preferències del seu oci o l’estat civil, informació no essencial per a la transacció, és millor evitar-la. 

 
Potser n’heu sentit a parlar recentment del cas de les fotocòpies dels DNI per a segons quins tràmits, arran d’una publicació al respecte de l’Agència Espanyola de Protecció de Dades, o de l’escaneig de les empremtes digitals per accedir a les oficines o gimnasos.

 
Per garantir el compliment del principi de minimització de dades, podem tenir presents diverses bones pràctiques que han de començar per una revisió exhaustiva de tots els processos de recopilació, emmagatzematge i processament de dades per identificar i eliminar informació no necessària. I com minimitzar no vol dir que siguin poques, perquè a vegades les dades necessàries poden ser moltes i, fins i tot, sensibles, el següent és assegurar la implementació de controls d'accés per garantir que només el personal autoritzat tingui accés a totes aquelles dades personals. Si a més, aconseguim cert nivell d'anonimització i pseudonimització per protegir les dades, ja tindrem un pas de gegant assolit. Sobretot, pensant que complir amb el principi de minimització de dades no només és un requisit legal, sinó també una pràctica ètica i responsable i això, avui, té un valor també.

Jordi Ventura

Jordi Ventura

24/03/2024

La IA ja té qui la reguli

Fa cosa de quatre mesos, les autoritats europees van presentar el primer projecte de llei integral sobre intel·ligència artificial a escala mundial, conegut com a 'Reglament d’Intel·ligència Artificial (IA)'. Davant la immensitat d’incògnites que s’obren amb l’evolució d’aquesta tecnologia, el repte era, almenys, intentar protegir els drets fonamentals de les persones en l’ús de la IA.

Sorprenentment, atesa la velocitat amb què de vegades hem vist avançar algunes iniciatives legislatives, aquest mateix 13 de març el Parlament Europeu va aprovar el nou reglament d'intel·ligència artificial per garantir la seguretat i els drets dels ciutadans. Aquest acord és un primer pas que ha de servir de precedent per a una nova norma mundial de regulació de la IA que podria arribar aquest mateix 2024 i que entraria en vigor el 2026.

El reglament europeu posa al centre el risc de la tecnologia sobre els drets fonamentals, la democràcia, l’estat de dret i la sostenibilitat mediambiental. No vol limitar l’avanç de la tecnologia, amb previsibles efectes beneficiosos, però si aixecar certes línies vermelles quan hi ha certs riscos. Així estableix una classificació dels sistemes d’IA segons el nivell de risc que presenten. Hi ha tres categories:

Risc inacceptable: els sistemes d'IA que representen una amenaça directa per a la seguretat pública, els drets fonamentals o la privadesa. El seu ús està estrictament prohibit, llevat de situacions molt excepcionals.

Alt risc: inclou els sistemes d'IA que podrien tenir un impacte considerable en els drets fonamentals de les persones, com aquells relacionats amb serveis i processos que afecten la salut, la seguretat o l'ocupació. El seu ús està permès, però amb salvaguardes addicionals i es monitori el seu funcionament.

Baix risc o risc inexistent: quan no és cap de les anteriors. És a dir, es basa en la capacitat de decisió lliure, informada, voluntària i inequívoca dels ciutadans per a utilitzar aquestes tecnologies, com IA generatives.

Un dels temes destacats és, com no, la biometria. La clau aquí és que l'usuari conegui el sistema i decideixi lliurement sobre el seu ús. Així, les aplicacions de reconeixement biomètric que suposin una participació activa i conscient de l'usuari, demostrant-ne el coneixement i l'aprovació, es consideraran de baix risc. Aquest enfocament és molt important, ja que posa tot el pes en la importància del consentiment a l'era digital.

En general, les organitzacions han de preveure sistemes ètics i responsables que permetin el consentiment informat i inequívoc de les persones, les qual, a més, hauran de tenir, igualment, mecanismes de control i defensa dels seus drets sobre aquests tractaments.

És un precedent de com es poden regular tecnologies emergents de manera efectiva i ètica, sense sacrificar la innovació. Continuarem amatents.

Jordi Ventura

Jordi Ventura

24/02/2024

Tan poc et valores ?

Centenars de persones fent cua a centres comercials per vendre el seu iris a una empresa d'intel·ligència artificial. Sembla fins i tot un acudit, però ja hem vist aquests dies que és tan real com que encara hi ha gent que considera que li han donat diners, bé, criptomonedes, "gratis", a canvi de no res. En aquest cas recent que ha saltat als mitjans, el benefici ha estat d’entre 30 i 60 euros, perquè la cotització de la criptomoneda va com va segons el dia.

A canvi de res? Només per deixar-te escanejar l'iris, ja ho veus, no res.

Pausa. L'escaneig de l'iris proporciona una dada biomètrica que identifica una persona de forma inequívoca i permet reconèixer-ho d'entre totes les altres. És a dir, han cedit la teva identificació única a una empresa que ara té una dada personal especialment sensible per no se sap quin ús present o futur. De debò aquestes persones no han considerat que el seu mal ús pot provocar nombrosos perjudicis? Tampoc és clar ni el bon ús.

Tornem a l'inici. A l'era digital actual, les dades han esdevingut un dels actius més valuosos. Dins aquest ampli panorama d'informació, les dades biomètriques ocupen un lloc destacat per la seva singularitat i capacitat per identificar i autenticar individus. Són dades d'alta qualitat per entrenar i millorar els algorismes. Les dades biomètriques, que inclouen empremtes dactilars, reconeixement facial, veu, i altres trets físics únics, són especialment valuosos. Accedir a un ús concret, informat, justificat i cancel·lable té sentit i cobertura legal per a les parts. Si s'entra a la mera transacció comercial, la qüestió incorpora principalment riscos.

Les dades biomètriques són fonamentals als sistemes d'autenticació. Cedits sense garanties, imaginem com podrien ser utilitzats per accedir il·legalment a sistemes sensibles, cometre fraus financers o suplantar la identitat de l'individu. Aquella cosa que semblava simpàtica al centre comercial pot tenir implicacions a llarg termini de vulneració dels drets i llibertats en la vida de la persona.

Hi haurà qui hi ha accedit i se senti tranquil perquè n'ha donat el consentiment, però això no és suficient quan es tracta de dades especialment protegides, dades que permeten la identificació inequívoca de la persona a través d'una característica física que no canvia al llarg de la vida. El que és realment important és com gestionarà aquesta informació qui tracta les dades. I certament, algun dubte que el RGPD no s'ha seguit rigorosament, em permetré el luxe d'albergar.

En qualsevol cas, es posa en evidència com és d'important advocar per una major consciència i pedagogia per protegir els drets i la privadesa de les persones a l'era digital.

Jordi Ventura

Jordi Ventura

24/01/2024

Amb targeta o amb cookies?

Amb targeta o amb cookies?

Segurament us haureu adonat. Algunes apps o pàgines web, començant per les de diaris online, que han estat pioners en aquest tema. Ens ofereixen la possibilitat de “Rebutjar cookies (o galetes)” per seguir navegant per les seves pàgines, això sí, previ pagament d’una petita quantitat de diners, per exemple, 0,50 euros per a consultar el seu web durant 24 hores, o directament oferint una quota de subscripció.

Això no és una nova política d’ingressos implementada aquest mes de gener per iniciativa pròpia. El micropagament ha estat una solució, veurem si provisional, per fer front a l’entrada en vigor a Espanya de la nova guia sobre l'ús de les galetes elaborada per l'Agència Espanyola de Protecció de Dades (AEPD), un document que obliga a oferir de manera visible i clara l'opció de rebutjar les galetes quan visitem una web. Acceptar o rebutjar han d'estar el mateix nivell de visibilitat perquè triem. No és que fins ara no existís, és que allò que es posava davant ben accessible era “Acceptar” i prou... després va haver de posar-se el permetre la selecció per tipus d'ús de cookies però això de “Rebutjar” seguia estant ben amagat. Sense galetes no hi ha informació personal de valor i així la publicitat perd rellevància. És a dir, els ingressos s'escapen.

Les cookies rastregen hàbits de navegació i això permet personalitzar els anuncis que veiem. Si aconsegueixen que siguin rellevants, hi ha més probabilitat de fer clic, és a dir, un ingrés per a qui mostra la publicitat al seu mitjà. Sense galetes, sense rastreig, la publicitat és genèrica, potencialment menys interessant, menys rendible.

Davant d'aquesta previsió de descens d'ingressos per publicitat, alguns llocs web ens plantegen com volem pagar pel contingut. Perquè de franc no hi ha res. Ens donen dues opcions, pagar amb galetes i dades personals o pagar amb targeta. Si acceptes les galetes, permets que es tracti la teva informació d'ús per mostrar-te "contingut i publicitat adaptat a les teves preferències". Si no ho acceptes i les rebutges, t'ofereixen passar per caixa. Seguiràs veient publicitat, no et creguis, però serà genèrica, no personalitzada. El més tradicional de veure anuncis de marques esportives en web de contingut esportiu.

Val a dir que tampoc totes les galetes estan subjectes a aquesta nova normativa. Afecta només les externes, és a dir, no implica canvis amb les galetes que tenen com a finalitat estrictament el mesurament de l'audiència del lloc o de l'aplicació i és un tractament realitzat en nom exclusiu de l'editor per obtenir dades estadístiques anònimes.

En resum, tota aquella web que faci servir cookies requereix una revisió urgent i estricta. Ara més que mai, cal conèixer quines s'usen i per a què. Hem d'oferir clarament aquesta informació i permetre la gestió per part de l'usuari fins al punt que les rebutgi amb tot dret.

Jordi Ventura

Jordi Ventura

24/07/2023

Líders, al revés

A vegades un ja no sap ni què pensar. Hi ha alguna raó per la qual tanta gent estigui interessada a no fer les coses bé? De veritat, és més fàcil anar a salt de mata, improvisant i obviant tota mena de normativa, de debò? Aquest tema ve arran d'un informe que assenyala que Espanya lidera l'incompliment de l’RGPD amb 594 multes imposades en cinc anys, més del doble que Itàlia, el segon país classificat amb 246 sancions. El Reglament General de Protecció de Dades (RGPD) va entrar en vigor el maig del 2016 i es va convertir de compliment obligat, fa poc més de cinc anys, el maig del 2018.

Tot i ser una normativa que permet molta autonomia als qui tracten dades de caràcter personal, també té uns límits, recomanacions i criteris clars. Sempre hi ha excepcions, sobretot amb temes sobrevinguts com la intel·ligència artificial, obvi. Fins i tot a l'apartat de sancions és clar. Per això mateix sorprèn que complerts els cinc anys d'aplicació de l’RGPD s'estiguin observant tendències com l'assenyalada quant a Espanya.

En aquest període de temps s'han imposat al voltant de 1.700 multes a organitzacions tant del sector públic com del privat. Aquestes sancions pugen a un total de prop de 2.500 milions d'euros. En 71 ocasions, les multes van superar la xifra del milió d'euros i van evidenciar la contundència de les sancions aplicades. Ningú no es pot sorprendre que hi poden haver sancions elevades.

Pel que fa a les multes més altes, destaca el cas d'Amazon a Luxemburg, sancionada el 2021 amb 746 milions d'euros. Tot i això, aquest rècord va ser superat recentment per Irlanda, que va imposar a Facebook una multa de 1.200 milions d'euros, elevant el total a 3.700 milions. Irlanda s'ha caracteritzat per emetre algunes de les sancions més severes, incloent-hi una de 405 milions d'euros, una altra de 265 milions d'euros i una tercera de 225 milions d'euros.

En aquest context, Espanya ha destacat no tant per la quantia de les multes sinó per la quantitat de sancions imposades. Se li atribueixen a Espanya un total de 594 multes, situant-se al capdavant en nombre d'infraccions en comparació amb altres països de la UE. Itàlia ocupa el segon lloc amb 246 multes, molt per sota de la xifra espanyola.

Què s'està fent malament aquí? En analitzar els motius de les sancions, s’observa que la infracció més comuna està relacionada amb l’article 5 del RGPD, que es refereix al tractament de dades personals. Gairebé el 60% de les sancions imposades han estat vinculades a com es garanteix el tractament i protecció adequats de la informació privada. També es pot fer una altra lectura: l'autoritat espanyola és més rigorosa a l'hora de vigilar la protecció de la privadesa i la seguretat de la informació dels ciutadans?

Jordi Ventura

Jordi Ventura

Juny 21, 2023

Feliç aniversari

El temps passa de pressa i, encara que recordem l'ardu treball previ de conscienciació i pedagogia abans de la seva entrada en vigor i tot el que va suposar aquell dia D de 2018, ja s'han complert cinc anys de la seva implementació. Sí, fa setmanes, a finals de maig, vam complir un lustre sota el Reglament General de Protecció de Dades (RGPD).

Quina bogeria van arribar a ser aquells dies! La gran majoria no va actuar fins que no va veure les orelles al llop, com se sol dir. Per contra, eren pocs el que van arribar amb els deures fets. I no del tot, perquè el panorama del seu desenvolupament deixava alguna escletxa al dubte que no es dissiparia fins al moment del seu ús i aplicació real.

La pràctica fa el mestre, es diu. Passat el temps, hem de convenir que bé per l'amenaça de sancions, bé pel temor a quedar fora de joc o per convenciment estratègic, avui la norma és de compliment general i està integrada a les organitzacions de manera molt estesa. Sempre hi ha lamentables excepcions, és clar.

Podem assegurar que el RGPD ha introduït avenços significatius en l'àmbit de la protecció de dades personals en els darrers cinc anys que ja hem naturalitzat. Un dels més importants, el del consentiment informat. Els ciutadans som ara molt més conscients i això obliga els responsables de tractament a ser més estrictes. Ens hem acostumat a exigir que el consentiment sigui lliure, específic, informat i inequívoc, cosa que brinda a les persones un major control sobre les seves dades.

Però no només amb el consentiment, aquests cinc anys s'han enfortit els drets dels individus en relació amb les seves dades personals, cosa que inclou el dret a accedir a les seves dades, corregir-les, eliminar-les, restringir-ne el processament i traslladar-les a un altre proveïdor de serveis. L'altra cara d'aquesta moneda és que aquest apoderament de les persones implica obligacions clares per a les empreses. No eren del tot noves, però sobretot el RGPD fa èmfasi en l'exigència d'implementar mesures de seguretat adequades. I, sent pràctics, amb una proposta molt útil com fer avaluacions d'impacte de protecció de dades en certs casos i notificar violacions de dades a les autoritats i els individus afectats en un termini determinat.

Després hi ha el més mediàtic i cridaner, les sancions. Sí, no cessen i cada cop són més quantioses. Sobretot les de les grans tecnològiques i empreses de telecomunicacions. Un clàssic. La veritat és que sí, aquí hi ha les multes, però abans d’arribar aquí,, empreses i organitzacions han tingut plena autonomia per decidir com tractar les dades personals i poder demostrar, en tot cas, que compleixen els principis de protecció de dades. És qüestió de voluntat.

Si ens quedem amb una lectura positiva d'aquests cinc anys és que el seu impacte en la protecció de dades personals ha elevat la consciència general sobre la privadesa a cotes molt respectables. Ja no s'hi val tot amb l'excusa que ningú se n'assabenta.



Jordi Ventura.
May 26, 2022

Pedagogia des de el conte

Amb motiu de la diada de Sant Jordi, l'Autoritat catalana de protecció de dades (APDCAT) ha llançat una iniciativa que, si en té difusió i ús, pot ser molt útil per començar a treballar des d'una edat primerenca en la conscienciació sobre la pròpia gestió de les dades personals. Sempre ens hem postulat com a partidaris de fer molt més èmfasi a la pedagogia que a la por o al càstig com a motor d'acció en la gestió de protecció de dades per part d'empreses, institucions i professionals, així que la idea d'utilitzar contes infantils per introduir el tema entre menors i les famílies és destacable.

L'excusa és la festa del llibre i es materialitza a posar a disposició de la ciutadania dos contes descarregables per a nens entre 7 i 11 anys que posen el focus en els riscos de compartir dades personals. Un dels contes, La cotorra, explica les aventures d'una cotorra coneguda per tothom al parc, que passa el dia explicant la seva vida privada. Un falcó que arriba perdut i afamat aprofitarà la informació per posar en risc la seva integritat. L'altre es titula El tigre bondadós i se centra en els riscos de la criança compartida o sharenting, que fa referència a la pràctica de compartir a internet i les xarxes socials informació relativa a les diferents etapes de creixement dels nens. I ho fa a través de la història d'un tigre i la família, que, orgullosa del seu naixement, va informant la resta d'habitants de la selva de l'evolució del cadell.

No hi pot haver dubte que és una bona manera d'abordar la pedagogia de la privadesa i la protecció de dades tant per a petits com per a grans, que segurament es veuran reflectits molt sovint en allò que els innocents contes pretenen representar. Perquè el punt crític sobre les actituds a les xarxes socials ha de començar pels mateixos adults i resulta positiu destacar la necessitat de sensibilització familiar. Un menor pot necessitar ser responsable amb l'ús de les xarxes socials a l'edat en què en pot fer ús i està molt bé que abans, fins i tot, tingui el coneixement crític de com fer-ho. No se'ns escapa que mentre aquell moment arriba -12, 14 o 16 anys- els que s'han d'aplicar el conte són els progenitors. Com es poden posar límits i bon criteri a l'ús de les xarxes socials per part d'un menor, si el seu entorn més proper ha compartit el dia a dia des de nadó i els seguidors saben quan celebra festes, a quina escola va, qui són les seves amistats, quins extraescolars fa, les joguines favorites, si va al casal d'estiu, on estiueja o qui l'acompanya a la sortida de classe? Contes infantils, sí, però per a la pedagogia general.

Jordi Ventura

July 08, 2022

Prohibit per guanyar temps

Les moltíssimes derivades que està oferint l’adveniment de la intel·ligència artificial (IA) en tants i tants àmbits de la nostra societat està començat a fer aixecar la veu a moltes persones sobre com s’ha d’utilitzar aquesta tecnologia. Recentment, un miler d’experts han demanat directament aturat el desenvolupament de la intel·ligència artificial alertats pels seus avenços, la figura més mediàtica dels quals és ChatGPT y GPT 4.

Podem estar d’acord que és l’avenç més gran del món quant a software en dècade i la punta del iceberg d’una cada cop més probable revolució tecnològica que es fa difícil ni tan sols definir. Aquests experts parlen directament d’aturar els desenvolupaments o estarem abocats a la destrucció de la civilització. Sóna molt radical, però a la velocitat que es mou tot plegat, qui s’atreveix a negar-ho rotundament?

Com passa sempre, la tecnologia corre a una velocitat molt superior a la possible regulació que la podria emmarcar per a definir usos i excesos. Amb l’IA aquest desfase és més sagnant encara. El boom d’aquesta tecnologia ha estat exponencial. Un cop més, governs i institucions mostren la seva incapacitat per a reaccionar i trobar barreres o limitacions per al sector.

La carta oberta dels experts mundials demana aturar sis mesos tots els desenvolupaments, de manera pública i verificable per fer-hi la reflexió de com, per què i fins a on s’ha de treballar en l’IA. Si no, directament, que es faci via intervenció dels governs.

Alguns s’ho han pres al peu de la lletra, com Itàlia. La seva autoritat de protecció de dades, el GPDP (Garante per la protezione dei dati personali), ha prohibit amb efecte immediat l’ús de ChatGPT i ha bloquejat l’eina d’OpenAI per suposada recopilació ilícita de dades personals. Alhora ha començat una investigació a la companyia. Itàlia ha dit que fins que no compleixi amb el RGPD europeu, no aixecarà la prohibició.

Les qüestions que planteja el GPDP italià són essencials. No es proporciona cap a informació a l’usuari de les dades recopilades i processades per Chat GPT, no hi ha base jurídica adequada en relació a la recopilació de dades personals i el seu tractament destinat a generar algoritmes, no hi cap sistema de verificació d’edat de l’usuari…

Amb aquest precedent, d’altres s’ho han començat a mirar, com Espanya, on l'Agència espanyola de protecció de dades (AEPD) ha iniciat d’ofici també una investigació per un possible incompliment de la normativa. I el tema s’ha elevat ja al Comitè europeu de protecció de dades (EDPB, per les sigles en anglès) perquè valori els tractament globals de dades i l’impacte sobre els drets de les persones. És primer pas. Veure a quina velocitat es mou, però. La privacitat de les dades és una pota només de les afectacions normatives de l’IA, també s’haurà de fer l’abordatge de la transparència i explicabilitat dels algoritmes, l’ètica, l’equitat i no discriminació, i la responsabilitat dels sistemes d’IA.

Jordi Ventura 

June 15, 2022

Exàmens per a DPO

Sembla que els delegats de protecció de dades (DPD o DPO, segons les sigles en anglès) hauran de validar les seves capacitats ben aviat. I és que l'Agència Espanyola de Protecció de Dades (AEPD) planeja posar a prova uns 30.000 delegats de protecció de dades a Espanya. La seva figura és clau, són els responsables de garantir que les empreses compleixin les lleis de protecció de dades de la Unió Europea, i les autoritats han considerat que és moment de comprovar si aquesta tasca es duu a terme correctament i per les persones adequades.

L'AEPD ha declarat que la prova té com a objectiu millorar la qualitat dels DPD i garantir que compleixin els requisits necessaris per exercir el seu paper de manera efectiva. Els DPD tenen una funció crítica en la protecció de les dades personals dels ciutadans, i és important que tinguin un alt nivell de coneixement i habilitat per dur a terme la feina. És el mínim exigible. M'agradaria pensar que aquesta decisió és un exercici de responsabilitat de les autoritats de protecció de dades i que no cerca cap mena d'afany. La figura és un requisit per a determinades empreses arran de l'entrada en vigor del Reglament general de protecció de dades (RGPD) europeu i, per tant, és normal que el nombre de DPD creixi any rere any. El que és estrany és que no hi ha hagut una verificació sistemàtica de la seva competència fins ara.

La prova, que es farà en línia, consistirà en una sèrie de preguntes relacionades amb la legislació de protecció de dades i l'avaluació de casos pràctics, i es durà a terme en dues fases: una per als DPD que ja estan registrats a l'AEPD i una altra per a aquells que no ho estan.

A l'origen de tot hi ha el fet que la UE ha augmentat les sancions per violacions de la protecció de dades, cosa que fa que sigui encara més important que els DPD tinguin un coneixement adequat de la llei i de com aplicar-la. No cal reiterar el tema, però entre altres coses, l'incompliment de les normes de protecció de dades ja sabem que pot resultar en multes significatives per a les empreses i organitzacions, i en pot danyar la reputació i les relacions amb els clients.

Els professionals de la protecció de dades han d'estar capacitats i ser competents, per tant, d'entrada, cal estar a favor de posar a prova els DPD a Espanya i garantir que tinguin el coneixement i les habilitats necessàries per complir les seves responsabilitats. Si alguna cosa fa mal al sector és que suposats experts devaluïn la importància d'una correcta gestió de la informació personal per part d'empreses i professionals. Les males praxis no poden ser una realitat que hàgim d'assumir i acceptar sense més ni més.

Jordi Ventura

May 26, 2022

El Dia de la Internet Segura

La seguretat a internet és una preocupació creixent per a tots els usuaris, incloent-hi les petites i mitjanes empreses (PIMES). El Dia de la Internet Segura és una iniciativa que se celebra per fomentar l'ús segur i responsable de la tecnologia en línia cada any el segon dia de la segona setmana de febrer. Aquest any, va ser el 9 de febrer. La iniciativa va ser llançada per la Comissió Europea el 2004 i se celebra a més de 100 països de tot el món. S'adreça especialment a les persones usuàries de la xarxa, però sens dubte cal que els professionals i petites empreses també necessiten especial conscienciació.

I és que sovint aquestes empreses no tenen els recursos per protegir-se adequadament contra els ciberatacs, cosa que les converteix en un objectiu fàcil per als hackers. La manca de mesures de seguretat adequades pot tenir conseqüències greus per a l'empresa, com ara la pèrdua de dades clau, la interrupció del negoci i la pèrdua de la confiança dels clients. És per això que és crucial que les PIMES prenguin mesures per protegir la informació

en línia.

Quines qüestions podríem tenir en compte?

Començar per assegurar que totes les contrasenyes utilitzades a l'empresa siguin segures. Les contrasenyes han de tenir almenys 8 caràcters, incloent-hi lletres, números i símbols. A més, cada compte ha de tenir una contrasenya única i no ha de ser compartida entre els empleats. És fonamental que les contrasenyes es canviïn regularment i que no es facin servir contrasenyes antigues. També treballar amb tots els programes i sistemes operatius actualitzats. Les actualitzacions sovint contenen correccions de seguretat importants que poden protegir la vostra informació en línia. Els programes antiquats poden tenir vulnerabilitats de seguretat que poden ser explotades pels hackers. Això inclou fer servir programari antivirus i antimalware actualitzat. Importantíssim, pedagogia i formació per als empleats sobre la seguretat en línia i els perills que poden enfrontar en línia, així com establir polítiques clares sobre l'ús de dispositius personals a la feina.

Un altre tema rellevant, emprar un xifratge adequat per protegir les dades que es transmeten a través de la xarxa. Per exemple, vigilar com es treballa des de casa o fora de l'oficina, on cal una connexió segura a internet i que s’empri una VPN si cal. I finalment, fer còpies de seguretat de la seva informació empresarial de valor regularment. Això us pot ajudar a recuperar informació en cas d'una pèrdua de dades. Cal emmagatzemar-les en un lloc segur i provar-les regularment per assegurar-se que funcionin correctament.

Jordi Ventura

July 08, 2022

I això de la IA?

És molt probable que en les darreres setmanes, per qüestions professionals o per temes personals, ens hàgim sentit al·ludits a l'allau d'informacions que han aparegut als mitjans de comunicació i les xarxes socials sobre els passos de gegant que s'estan fent en el desenvolupament de tecnologia d'intel·ligència artificial (IA).

Sobretot, per la impressionant presentació que ha fet l'empresa OpenAI del seu xatbot GPT3, un generador de contingut capaç de respondre preguntes sobre qualsevol tema (de moment només esdeveniments d'abans del 2021), programar, assistir, recomanar, crear, etc. També han aflorat els projectes de Microsoft per posar veu a qualsevol text imitant qualsevol veu humana, Vall-e, o el de Midjourney per crear imatges i il·lustracions a partir d'una descripció de text. Òbviament, de seguida hi ha hagut suports entusiastes i alarmats detractors, sobretot a l'àmbit de la creació artística, però també a l'educació i, en general, a molts sectors que intueixen que el futur pot ser radicalment disruptiu en les seves tasques diàries. Tot ho podrà fer una màquina, per a què servirà tal o tal altre lloc d'ocupació, doncs?.

Mirarem pel tema que ens ocupa. Una aparició així amb un maneig d'informació com aquest ha d'impactar en la gestió de la protecció de dades, per descomptat. Sense poder ser molt concrets encara, que tot s'ha de veure, un exemple de com la IA pot posar en risc la protecció de dades en una empresa és mitjançant l'ús de sistemes de reconeixement facial, ja de moda. Si una empresa utilitza tecnologia de reconeixement facial per identificar els clients en una botiga o en un esdeveniment, és probable que reculli i emmagatzemi informació personal, com les imatges de les cares dels clients. Un altre exemple és l'ús de la IA en l'anàlisi de dades dels clients. Si una empresa fa servir IA per analitzar les dades dels clients per tal de millorar els seus productes i serveis, és probable que tracti una gran quantitat d'informació personal, com les dades de compra, l'historial de navegació i les preferències del client. Si aquesta informació no està protegida adequadament, podria ser vulnerable a atacs cibernètics, cosa que podria exposar les dades personals a un risc de robatori d'identitat o fraus. A més, la IA podria també processar aquesta informació de forma automatitzada, cosa que podria generar decisions no desitjades o discriminatòries.

En tots dos casos, és important que les empreses prenguin mesures per garantir la seguretat i la privadesa de les dades, com l'encriptació de les dades, l'avaluació de riscos, el monitoratge continu dels sistemes d'IA i la formació dels empleats sobre l'ús ètic i seguretat de les dades. En conclusió, estarem en un procés continu d'aprenentatge i millora perquè, i això ja ho sabíem, la tecnologia va sempre uns quants passos endavant dels nostres processos i rutines.

Jordi Ventura

June 15, 2022

Juice-jacking

A punt d’iniciar un període de vacances que molts aprofitaran per fer algun viatge, és un bon moment per recordar un tipus de ciberatac que sovint té com a punt d’inici espais com els aeroports o estacions de trens. Tot i que per ser exactes, no hauríem de posar el focus aquí només i tenir presents pel cas qualsevol punt de càrrega públic mitjançant terminals USB. Parlem del que s’anomena juice-jacking, quelcom com l’atac del suc, perquè l’objectiu és esprémer el dispositiu atacat per treure-li tot el contingut.

Aquest tipus de ciberatac parteix de la base que sovint els usuaris d’smartphones estan escassos de bateria i necessiten imperiosament carregar-la. Davant la potencial crisi de no tenir disponible el telèfon, la possibilitat de connectar-se a un punt de càrrega públic és una autèntica salvació i, sovint, qualsevol precaució en termes de seguretat passa a un segon pla. Error.

Les connexions USB tenen la virtut de permetre la càrrega i la transferència de dades, funció aquesta extremadament útil quan treballem amb memòries portàtils, però un veritable perill quan ens connectem a un punt d’origen desconegut. Un port USB manipulat pot permetre l’accés a dispositius aliens, sense consentiment del propietari, i robar dades o instal·lar programari maliciós, malware.

Llavors, és absolutament desaconsellable recórrer a un punt públic de càrrega? Per estar plenament segurs, sí. Lògicament, no a tot arreu estan manipulats per un ciberdelinqüent, però com això mai no ho sabrem, l’ideal és evitar-ho. Si no tenim bateria i ens cal carregar el mòbil o tablet, és molt més recomanable cercar un endoll i utilitzar el carregador i cable ordinari. Si no hi ha més remei que connectar-se a l’USB públic, una acció fonamental és permetre l’ús només de càrrega quan el dispositiu ens demani quina acció volem fer amb la connexió que acaben d’iniciar. Una altra precaució a prendre és fer la càrrega amb el dispositiu apagat i durant el menor temps possible d’acord amb el que pensem que podrem necessitar fins que estem en disposició de fer una càrrega més segura.

A més, és clar, hi ha opcions pels que ja tenen tendència a requerir càrregues d’aquest tipus, diguem-ne intempestives, perquè acostumen a estar sense bateria sovint fora del lloc habitual de càrrega, sigui a casa o a la feina. No és el més còmode, però les bateries portàtils són excel·lents per tenir autonomia. Això sí, és clar, cal portar-les igual de carregades o més que els mòbils quan sortim de casa. I no deixa de ser un altre aparell a portar a sobre. Per això, preveient casos d’emergència, seria més fàcil tenir un juice-jack defender, o un preservatiu USB, un adaptador d’USB que s’interposa entre el punt de càrrega i el dispositiu que inhabilita els pins de dades i permet només l’urgent, la càrrega. Una bona opció per prevenir infeccions.

Jordi Ventura

May 26, 2022

I la protecció de dades a Qatar?

Aquestes setmanes hi ha un tema que monopolitza converses, informacions, opinions, acudits i passions, la copa mundial de futbol. Enguany, a més de l’estrictament esportiu, del qual no es pot separar l’estrictament econòmic, s’hi ha afegit un nou i necessari debat, el idoneïtat d’atorgar l’organització d’un esdeveniment com aquest a un país com aquell, per molts diners que hagi garantit a l’ens amo del fútbol mundial, la FIFA, i per moltes facilitats i luxes que ofereixi a les delegacions participants. Perquè, democràcia i Qatar, no han barrejat bé. I ingredients com llibertats i drets civils no són gaire apreciats. I dins d’aquest escenari de xoc d’interessos entre visitants i hostes, com queda un tema com la protecció de dades i la privacitat d’un aficionat que tingui a bé anar-hi per veure un partit de fútbol?

Apuntarem un primer detall, motiu d’orgull nacional en la propaganda del país: el seu territori és segur i no hi ha delinqüència i perquè continuï així durant el Mundial, 15 mil càmeres amb capacitat de reconeixement facial monitoritzaran els aficionats presents a Qatar, tant als estadis com al transport i a la ciutat de Doha en general. El govern ho justifica perquè ho considera una mesura per reforçar la seguretat, prevenir la violència i fins i tot aturar possibles atacs terroristes. I algú pot posar objecció? De les dades personals que s’han de facilitar per accedir al país o per allotjar-se, també seria molt agosarat considerar que tenen una cobertura legal que garanteixi gaire protecció a l’individu. Però llavors, com és que el país és un centre econòmic d’enorme magnitud a l’Orient Mitjà? Potser pel ciutadà comú no, però per a les empreses d’arreu que s’hi instalen i que hi operen sí hi ha un marc normatiu que els garanteix la sempre necessària estabilitat jurídica pels negocis. És un oasi dins el país, el Qatar Financial Centre, un districte comercial i financer situat a Doha, creat pel govern, que ofereix el seu propi entorn legal, reglamentari, fiscal i empresarial pel desenvolupament econòmic. Aquí dins sí hi ha un alineament amb les regulacions internacionals i facilitats per ser un paradís empresarial. Curiosament i explícita, de manera separada i independent del sistema legal Qatar. Allà, el RGPD és vigent, sí. No pas a fora.

Per encabir aquest esdeveniment puntual, que pel volum de persones que pot arribar a mobilitzar resulta extraordinari al país, s’ha fet una normativa transitòria pre i post Mundial que pretén oferir un marc compartit de normes, més aviat de costums i convivència, però que ni cobreix ni ho pretén el punt de vista de la privacitat i la protecció de dades personals dels visitants.

James Doe

July 08, 2022

Metaverso

És una cosa tan recent, que tota prudència és poca per parlar del tema. Sovint parlem que la tecnologia, com la vida mateixa, va més de pressa que les normes que intenten regular-la i en termes de privacitat i protecció de dades estem molt habituats que sigui així.

La màxima expressió d’aquesta situació la trobem ara mateix amb el metavers, un entorn virtual que porta al límit qualsevol plantejament anterior respecte les persones i la tecnologia. L’Agència espanyola de protecció de dades defineix el metavers com a un entorn virtual plenament datificat des del seu disseny i concepció, i per això pot ser molt intrusiu. El conjunt de dades que s’hi tracten augmenta de forma exponencial, pel que els nous reptes per delimitar el que fins ara creiem que teníem més o menys controlat són majúsculs.

El metavers és l’elevació de l’activitat en xarxes socials a un nivell extrem, superant la simple aportació discursiva o visual de les xarxes que coneixem ara, i portant-la fins al punt d’incloure dimensions com la social, econòmica, política o emocional. És a dir, arribar a virtualitzar tots els aspectes de desenvolupament de la persona. El plantejament del metavers és que pots tenir una vida plena en un món virtual. És una experiència absolutament immersiva en espais virtuals i allà s’hi pot actuar socialment amb una identitat digital absolutament aïllada del món real, si així es vol. Si ho pensem, les aplicacions són infinites. I doncs? Com es pot intentar regular mínimament això? Economia, oci, jocs, feina, educació, salut… I és clar, en tot això hi ha possibilitat de negoci, per tant, qui s’ho vol perdre? Ni que sigui per no deixar passar el tren.

Hem de coincidir amb les reflexions que està fent l’AEPD sobre el metavers quant a detecció de riscos en molts àmbits, sigui la la vigilància massiva, la discriminació, la pèrdua d’autonomia personal, el frau o la suplantació d’identitat. I com diu, fins i tot riscos personals, en la mesura que pot intervenir sobre la pròpia salut.

No estem preparats per a tot el que pot arribar a suposar permetre que la vida, real o virtual, giri al voltant de decisions de certs algoritmes. I ja no és ciència-ficció. Ara pot semblar que tot això ens queda lluny i que el dia a dia comú, la nostra feina ordinària està fora d’aquest abast. Però tornant al que diem a l’inici, això va a una velocitat de vertigen.

Jordi Ventura

June 15, 2022

Hola, desconnexió digital

Acabat oficialment l’estiu, els professionals d’arreu reprenen la seva activitat després de les vacances, una aturada que tradicionalment al nostre país és molt majoritària al mes d’agost, quan veritablement arribem a un punt de pausa gairebé total en tot allò que no és relacionat amb el turisme. Passa llavors, que després del “això ho tractem després de vacances”, quan arriba aquest punt de reinici moltes persones passen de 0 a 120 en poc moment i, sovint, fins i tot sobrepassant els límits permesos, si es permet el símil automobilístic. És a dir, tothom vol recuperar els temps i les urgències s’acumulen. Falten hores i es passa del descans absolut a estar fins dalt.

És en aquest punt on trobem la necessitat de tenir conciliada la gestió de la càrrega de feina amb un dels drets reconeguts a la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPDGDD), el dret a la desconnexió digital. Això és, garantir que els treballadors, fora del temps de feina legal o convencionalment establert, els sigui respectat el seu temps de descans, permisos i vacances, així com la seva intimitat personal i familiar.

Tanmateix, encara no està del tot generalitzat, tot i el temps que la LOPDGDD porta en vigor, que dins la implementació d’aquesta llei a les organitzacions s’inclogui una política interna per definir les modalitats per exercir aquest dret, a més de formació i plans de sensibilització del personal. Això és important, també, amb l’extensió del teletreball per a tenir establert quin ús, diguem-ne raonable, s’ha de fer dels dispositius digitals de l’empresa fora de les hores de feina. Aquí l’interès per establir unes polítiques de bons usos dels dispositius és comú. Ja no és només l’ús en termes d’horaris, sinó també en termes de seguretat de la informació. Sigui com sigui, cal tenir implementat aquest punt correctament dins el pla general de protecció de dades, privadesa i gestió de la informació de l’empresa.

Pot haver-hi excepcions, sí, però llavors cal tenir recollit un acord de disponibilitat fora de l’horari habitual de feina, el qual ha de ser en un temps concret i per a guàrdies no presencials. Fora d’això, tampoc tindria l’obligació de respondre comunicacions laborals. És a dir, no es pot sancionar ni acomiadar a qui no atengui comunicacions de l‘empresa fora del seu horari laboral o durant les seves vacances o per desconnectar els dispositius corporatius que usin per treballar en aquells períodes de temps.

Una correcta planificació del temps i una bona implementació de la política de protecció de dades ens evitarà inconvenients amb aquestes situacions. Bon retorn.

Jordi Ventura

May 26, 2022

Apretant per un nou acord amb EUA

Des que el Tribunal de Justícia de la Unió Europea va fallar ara fa dos anys en contra de l'acord segellat per a la transferència de dades de ciutadans europeus als Estats Units negociat per la Comissió Europea amb Washington el 2016, conegut com a Privacy Shield o Escut de privadesa, en concloure que no garanteix el nivell de protecció de les dades que exigeixen les regles de la Unió Europea, ens hem trobat en una situació d’incertesa, o d’inseguretat jurídica, que tot just comença a esclatar a alguns països europeus. I si això passa, pot ser que ben aviat ens trobem situacions similars a l’Estat espanyol.

Els darrers, i molt recents casos, els situem a Irlanda i Dinamarca. L’origen de tot és que Estats Units i Europa van proclamar als quatre vents al març que ja tenien un acord per poder transferir dades personals amb garanties per a la privadesa, però també que el pactat eren línies generals que encara s’havien de traslladar a un text legal. Has passat els mesos, el nou “Privacy Shield” no s’acaba de concretar i algunes autoritats nacionals de protecció de dades han mogut fitxa. La conseqüència? Les grans tecnològiques nord-americanes tornen a estar en entredit i veient en risc la seva presència al vell continent.

La Comissió de Protecció de Dades irlandesa ja ha avançat una decisió dràstica, que encara no sembla definitiva: bloquejar i prohibir les transferències de dades personals d'usuaris europeus als Estats Units. D'aquesta manera es compliria la sentència del Tribunal de Justícia de la Unió Europea de fa dos anys. A la pràctica, la inhabilitació per funcionar a Europa, tal i com ho fa ara i com no vol renunciar a fer-ho, Meta. És a dir, Facebook, Instagram i WhatsApp. Ben bé que a Irlanda volen posar les piles a la UE. O es plasma efectivament aquell acord o la indefinició actual ha d’acabar i, per tant, s’ha de cumplir la normativa europea, el Reglament General. Òbviament, Meta o Google també estan per la labor de concretar amb la major brevetat possible aquest nou marc de col·laboració, però a ningú escapa que és amb expectatives i propostes molt diferents. Tanmateix, més enllà de les empreses, qui es troba en el darrer esglaó dels impediments és el propi govern nord-americà, que no acaba de posar blanc sobre negre que, ni per qüestions de seguretat, deixarà de demanar en algun moment hipotètic dades d'un ciutadà concret.

Hi ha un altra via, impensable no fa tant. I és que diversos congressistes han proposat un esborrany d’una Llei de Privadesa i Protecció de Dades Nord-americana que contempli drets similars als que preveu el RGPD. Podria ser la manera de quadrar drets i deure a una i altra banda de l’oceà.

Jordi Ventura

July 08, 2022

PREN-TE UN SEGON ABANS DE COMPARTIR

Tornem a tenir d’actualitat un fet de privadesa. O d’invasió de la privacitat, per ser més concrets, fins al punt de fer exposició pública i massiva d’un vídeo personal. Només cal afegir que inclou contingut sexual i que la persona és popular per fer el tema més viral. Majoritàriament, a les xarxes socials, se n’ha fet broma o escarni, però també hi ha qui ha posat el seny necessari per advertir que el greu de la qüestió és que algú ha fet difusió pública d’un contingut privat sense consentiment dels afectats, i això és susceptible de delicte.

Quan aquesta difusió pública s’escapa de la voluntat de les persones fotografiades o enregistrades en vídeo, tothom té clar s’està exposant a aquelles persones a situacions, més o menys greus, que en cap cas han estat decisió seva. Ara bé, aquesta sobreexposició és moltes vegades voluntària i, llavors, sembla que es minimitzen els riscos. És un error pensar que tenim el control de tot allò que publiquem o difonem i que se’n farà sempre l’ús que, innocentment, teníem al cap a l’hora de penjar-ho a les xarxes, per exemples. Això és especialment greu quan parlem de menors. Tant que, com amb d’altres situacions, s’ha etiquetat d’una manera concreta per posar-hi focus i ser ben conscients del que implica.

És el que s’ha batejat com a ‘sharenting’, de les paraules en anglès ‘share’, compartir, i ‘parenting’, criança o paternitat/maternitat. Consisteix en la difusió a través de les xarxes, o no només, de les activitats dels seus fills i filles sense gaire filtre a l’hora preservar la seva privacitat. No és nou, però hi ha una tendència a l’alça que preocupa. Documentar tot el que implica la criança, fer un seguiment de què fan, com i on els menors, és poc recomanable i, a més, un risc per al seu dret a la intimitat i la reputació infantil.

Quanta gent coneixem que publica noms, data de naixement, edat, adreça, gustos, localitzacions, activitats rutinàries… pistes que poden acabar en ciberdelictes, ja sigui de suplantació d’identitat, accés a comptes, contrasenyes, per no dir ja que les imatges o vídeos de menors poden ser utilitzades per a la pornografia infantil, creació de perfils falsos o ciberassetjament.

L’ús responsable de les xarxes, amb limitació de la difusió de les publicacions, la geolocalització i, sobretot, la minimització de contingut identificable són altament recomanables. Si més no, cal evitar la sobreexposició de nens i nenes.

Un segon de reflexió abans de publicar, pot ser molt valuós. Seguim amb la pedagogia.

Jordi Ventura

June 15, 2022

Temps de Renovacions

Ara podria semblar que entrarem a valorar altres temes d’actualitat, més relacionats a l’esport i les frustracions i futurs desitjos d’alguns equips. En sentim a parlar cada dia d’altes, baixes, nous contractes i possibles renovacions… però no és ben bé això el que ens toca tractar. Sí té a veure amb contractes, però amb els dels encarregats de tractaments de dades.

En un dels darrers vestigis que encara es mantenien en vigor de l’antiga LOPD, era la vigència dels contractes dels encarregats de tractaments, en els casos dels contractes subscrits abans del 25 de maig de 2018. Aquests havien de ser vigents fins a la data assenyalada en els contractes o, en cas de ser indefinits, fins al 25 de maig de 2022. I el dia ha arribat.

L’ideal és no haver arribat a aquest punt sense haver mogut fitxa perquè s’evita està descoberts. En tot, cas, ara és del tot imprescindible una adaptació dels contractes anteriors al Reglament General de Protecció de Dades. Com és lògic, tot el nou contingut que regula el RGPD com a evolució de la normativa anterior no es contempla adequadament en els contractes antics i és un alt risc per al responsable del tractament no tenir això ben lligat amb els encarregats. Han passat quatre anys des de l’entrada en vigor del RGPD i és bon moment perquè cadascú faci una mirada endins per autoavaluar-se aprofitant l’avinentesa.

Revisem. Qui és l’encarregat del tractament? La persona física o jurídica triada pel responsable del tractament per a tractar les dades amb uns fins determinats. És a dir: gestors, empreses de videovigilància, agències de comunicació, empreses de manteniment informàtic… Per això, convé analitzar cas per cas. Potser no cal en tots els casos subscriure un nou contracte de prestació de serveis, sinó que en alguns supòsits pot resultar suficient d’incorporar una addenda que contingui les clàusules necessàries d'acord amb el reglament.

En qualsevol cas, és un molt bon moment per fer un contrast i incorporar l'obligació que recull l’RGPD d'escollir només encarregats del tractament que ofereixin garanties que respectarà els drets i les llibertats dels interessats en el tractament de les dades personals. És a dir, cal avaluar els proveïdors que tractaran dades personals sota la pròpia responsabilitat. Això és molt rellevant si es dóna el cas de tenir encarregats de tractaments fora de la Unió Europea. Les obligacions d’abans no són les d’ara i no actualitzar-les poden comportar més d’un ensurt.

Jordi Ventura

May 26, 2022

ESPIONATGE I SEGURETAT

És un dels temes que marcaran l’any polític per les implicacions que té disposar d’un programari específic per espiar rivals polítics, però en el fons no és un tema nou. Aquí s’està portant al màxim nivell mediàtic per tractar-se de les persones de què es tracta, tanmateix, és possible extrapolar la situació general a tot arreu.

Repassem. A aquestes alçades de partit, tothom té clar que els dispositius de telecomunicacions contenen informacions personals de tota mena, algunes de menor importància i d’altres molt més sensibles. També sabem que com a eines de comunicació, les fem servir per a intercanviar informació amb altres persones... La gran alerta: tothom és conscient que, com a tecnologia, tot plegat pot tenir febleses i propiciar fuites d’informació no desitjades. Clar que això no acostuma a ser per atzar, falta la darrera peça: el ciberdelinqüent. Aquell disposat a explorar totes les opcions possibles per aprofitar les vulnerabilitats dels sistemes per treure profit, ja sigui en termes d’informació confidencial, sensible o rellevant, ja sigui en termes econòmics, mitjançant xantatges o, directament, robatoris.

Què es pot fer per evitar-ho? O si més no, per minimitzar els riscos que això passi. Modestament, el que venim de molt temps enrere predicant: pedagogia i formació per a la prevenció i les bones pràctiques. Perquè a la seva escala particular, tant en allò personal com professional, ningú està exempt de poder ser víctima d’espionatge o d’atacs contra la seguretat dels seus dispositius electrònics.

Sovint hem fet recordatoris de com protegir aquests aparells, com el mòbil o l’ordinador personal i mai es pot dir que és suficient. Recordem algunes d’aquestes recomanacions, com tenir algun patró o contrasenya de bloqueig personal quan no s’està utilitzant per evitar que qualsevol el pugui fer servir, utilitzar contrasenyes segures, mantenir actualitzats els sistemes operatius i fer servir algun programari antimalware, evitar les xarxes de Wifi públiques, entendre què estem permetent quan instal·lem alguna aplicació i si els permisos que donem s’adeqüen a la seva finalitat o, per exemple, evitar clicar en enllaços desconeguts, desconfiar de correus dubtosos o obrir fitxers adjunts de fonts fora del nostre entorn segur.

Òbviament, això no és tot i no és fàcil del tot en sortir-se’n, si no, no estaríem davant un fenomen en creixement que augmenta progressivament el seu pes proporcional dins del conjunt de la criminalitat. Les darreres dades de cibercriminalitat a Espanya recullen un augment de gairebé el 32% d’aquests fets al 2020 respecte al 2019.

Jordi Ventura

July 08, 2022

MÉS RECLAMACIONS QUE MAI

És molt possible que sigui per la consciència més gran dels nostres drets sobre privadesa i dades personals, encara que segurament també té a veure amb l'augment de les situacions susceptibles de provocar una reclamació. La veritat és que l'Agència Espanyola de Protecció de Dades (AEPD) ha publicat la seva Memòria anual i resulta que el 2021 s'han presentat davant de l'Agència 13.905 reclamacions, un augment d'un 35% respecte del 2020. Aquesta xifra puja a les 14.571 incloent-hi els casos transfronterers, els casos en què l'Agència actua per iniciativa pròpia i les fallides de seguretat traslladades a inspecció.

En molts casos, aquestes actuacions han tingut a veure amb la resposta a plantejar davant dels desafiaments de protecció de dades relacionades amb la pandèmia, com l'ús d'aplicacions amb informació de salut, el passaport COVID mateix, les restriccions d'accés a determinats espais per motius de discriminació segons vacunació… però el que és ordinari a l'Agència és supervisar aquelles situacions en què tracten dades i es comprometi la protecció de la privadesa.

I quan algú reclama, passa alguna cosa? Almenys, el 2021, les reclamacions resoltes han augmentat un 35% (14.098) respecte a l'any anterior (10.443), una xifra molt destacable que ha permès resoldre reclamacions pendents d'exercicis anteriors sense que hagin augmentat significativament els temps mitjans de resolució. Per tenir una idea, el passat any el temps mitjà de resolució ha estat d'aproximadament dos mesos.

Quant a les reclamacions ordinàries, les plantejades amb més freqüència pels ciutadans el 2021 corresponen a serveis d'internet (16%), videovigilància (12%), recepció de publicitat (excepte spam) (11%) i inserció indeguda en fitxers de morositat (9%). Pel que fa als procediments sancionadors, se'n van finalitzar 585, un 49% més que el 2021. Les àrees més freqüents en els procediments sancionadors són videovigilància (25%), serveis d'internet (22%), i publicitat a través de correu electrònic o telèfon mòbil (9%).

No totes les sancions, no obstant, acaben en multa econòmica. Van ser 264, l'import global de les quals va pujar a més de 35 milions d'euros. Hi ha hagut més sancions i, en conseqüència, més multes. També suma el fet de tractar cas més complexos.

Destaca també l'augment, menor (4%) de les notificacions de bretxes de dades personals realitzades davant de l'Agència, 1.647 notificacions el 2021, però només 76 han estat greus. Les bretxes de dades personals més freqüents són les causades per ciberincidents d'origen extern/malintencionat i, dins d'aquest tipus d'incidents, el ransomware és el més repetit. En paral·lel, segueixen en augment els casos en què el xifratge de les dades i/o els sistemes van precedits d'una filtració d'informació i la posada a la venda a internet/darkweb.

Jordi Ventura

June 15, 2022

Nova Normativa de Seveis Digitals

Fa vint anys que la Unió Europea va aprovar la directiva sobre comerç electrònic que tenim vigent. Si en vint anys han canviat coses en qualsevol situació de la vida, què podem dir de l’àmbit d’Internet? Mirem enrere i intentem recordar com era la venda online fa dues dècades? Si la prioritat llavors era que la connexió a internet arribès a les llars i que ho fes amb certa velocitat -parlem de Kb o algun Mb-, com podem donar per fet, els serveis digitals estaven en la prehistòria.

Les noves tecnologies, els nous serveis, els nous negocis han sorgit en quantitat i varietat ingent. De la mateixa manera, els riscos per a la ciutadania i la societat, en general, també. Davant problemàtiques i necessitats actuals, la resposta era confusa i sovint inadequada.

Legislativament, tota l’evolució del sector no s’ha recolzat amb regulació adient… fins ara. Era una reclamació general que el mercat únic europeu requereix un marc jurídic modern adaptat a la realitat d’avui.

La nova normativa es diu Llei de Serveis Digitals, en anglès Digital Services Act (DSA) i ha estat en debat i fase d’esmenes el darrers anys fins que, recentment, el Parlament Europeu ha aprovat el text amb la proposta de regulació de plataformes en línia.

Els principals propòsits es basen a crear un espai digital més segur en què es protegeixin els drets fonamentals de tots els usuaris de serveis digitals, i establir condicions equitatives per fomentar la innovació, el creixement i la competitivitat, tant al Mercat Únic Europeu com a nivell mundial. Perquè la normativa neix a Europa, però no hi ha cap dubte que tindrà repercussió arreu del món. La nova llei defineix molt clarament obligacions i responsabilitats dels proveïdors de serveis digitals i té un focus específic en grans plataformes, xarxes socials i markets. Assenyala obligacions vinculants a escala de la Unió Europea per a tots els serveis digitals que connectin els consumidors amb béns, serveis o continguts. Ja hem sentit alguna opinió en contra de Mark Zuckerberg, propietari de Facebook… bé, Meta.

La norma és àmplia i amb molta repercussió. Veurem com es va aplicant, al final traspassar el paper a la realitat de les empreses i persones no sempre és fàcil d’assolir. S’ha de ser realista amb la proposta i amb les mesures correctores. L’objectiu és lloable, protegir els drets fonamentals dels usuaris al món digital i, sens, dubte, no serà només amb aquesta nova regulació que s’anirà aconseguint. Això no para i va a una velocitat de vertigen.

Jordi Ventura

May 26, 2022

Que Esperem Del 2022

Què podem esperar durant aquest nou any 2022 en termes de privacitat i protecció de dades? Segurament, qualsevol cosa menys immobilisme. Potser va ser una sensació, falsa, que després de l’entrada en vigor del Reglament General de Protecció de Dades europeu la cosa tindria una tendència a l’estabilitat. Que un cop assolit aquest punt de legislació europea compartida tot seria qüestió d’anar assolint els nivells d’implementació requerits i que durant un bon temps el viatge seria tranquil.

No es pot afirmar que seguim en aquella voràgine dels dies d’aterratge al nou reglament, però calmat, el sector de la privacitat, la seguretat de la informació i la protecció de les dades de caràcter personals, no ho és de calmat. I el que s’albira al 2022 no és excepció.

Si no ho ha estat l’any passat ja, podem aventurar-nos a dir que serà una de les paraules de l’any nou: ciberatac. Hem après tothom que ningú està fora de risc en aquest tema. Amb l'impuls a la digitalització a causa de la pandèmia, hem comprovat que el creixement per als ciberatacs ha estat brutal. I sense posar focus en determinades víctimes concretes, ja siguin organismes públics, empreses tecnològiques o grans corporacions. Ja no és ni anecdòtic, ni puntual. Per tant, potser cal esperar accions legislatives per abordar qüestions relacionades amb els pagaments de rescats, la seva persecució, les noves assegurances o l’eliminació de grans bandes de ransomware. Traspassat a l’òrbita individual, certament, caldran moviments també pel que fa al phishing, perquè qui no ha rebut en l’últim mes algún SMS, mail o trucada intentant aconseguir il·licitament dades personals de comptes, targetes o inclòs demandes de pagament fraudulentes?

Un segon tema, que ja ha començat a moure’s, és com abordar el nebulós món de les criptomonedes. Des del febrer, hi haurà a Espanya una regulació específica de la publicitat d’aquests criptoactius. És força exhaustiva i especifica un important nombre de restriccions. Entre d’altres, evitar crear impressions o expectatives desproporcionades o falses amb l'únic objectiu d'incentivar que el consumidor inverteixi en el criptoactiu que promociona. I no s'hauran de dissenyar de manera que amaguin o omitin dades que puguin servir per prendre una decisió informada a l'inversor. És un entorn complex i un espai on l’estafa pot trobar un acomodament molt fàcil.

En parlarem de més. Això és només referit a ciberdelinqüència, però els nous reptes van més enllà.

Jordi Ventura

July 08, 2022

Amb el Passaport per Davant

Era previsible. Feia mesos que se’n parlava del passaport Covid. I l'únic que faltava era començar a fer-ho obligatori per restringir certs moviments a qui no el té disponible. Mesos enrere la motivació pel seu ús era assegurar certa mobilitat de les persones per Europa, una aposta per salvar l’estiu turístic. Però era poc més que un tràmit fronterer. De mica en mica diversos països van començar a exigir-lo per accedir a certs espais. Ara, ja tenim a casa l’obligatorietat de mostrar-lo en l’oci nocturn, gimnasos, bars i restaurants. Ens estem acostumant, però no fa tant, exhibir aquest full amb dades sobre el nostre estat de salut en hagués despertat incomoditat, si més no.

Anar a un restaurant, per exemple, avui és una constant revisió de passaports Covid, o Certificat Digital Covid-19 de la Unió Europea oficialment. És rutinari ja. No obstant això, estem acceptant un tractament de dades poc convencional. Tots els procediments que s’han anat incorporant, afortunadament per a la protecció dels drets de les persones en matèria de privacitat amb la implementació del RGPD, queden qüestionats amb accions com aquesta.

Deixem al marge que sense passaport, comencen els problemes. És a dir, sense vacunar-se. Certament, el bé comú de la salut col·lectiva es pot plantejar com una finalitat superior a la decisió personal de cadascú de quan vacunar-se o no fer-ho. Ja han sorgit moviments de rebuig al fet de limitar la mobilitat als no vacunats, de no permetre l’assistència al lloc de treball… perquè vist així, el no permetre l’accés a espais interiors ja queda fins i tot com quelcom menor.

La qüestió és que les normes generals de prevenció imposades per les autoritats sanitàries per fer front a la Covid-19 tenen prioritat. Tenen el recolzament legal necessari -que no sempre ha estat igual a cada comunitat autònoma ni en temps ni fons-. Per tant, és legítim requerir aquesta acreditació amb informació personal. Ara, l’evident improvisació de com s’ha dut a terme tot plegat és incòmoda. Per als propietaris dels restaurants, per exemple, haver de responsabilitzar-se d’aquest tractament de dades és un problema sobrevingut i no buscat. El podem reduir a un tràmit, un gest amb el lector de codis QR i prou, però això és un control d’accés i un registre d’assistents a un espai que té en majúscules el nom de tractament de dades personals. Per completar-ho, relatiu a dades de salut. I l’usuari? Entrant en la roda, ha acceptat tot plegat perquè haver de mostrar el passaport és vox populi, però allò d’estar informat degudament i donar un consentiment exprés inequívoc, traçable, exigible a qualsevol activitat amb gestió de dades, l’hem oblidat. I pot ser un mal precedent.

Jordi Ventura

June 15, 2022

Em Cal un Canal de Denúncies ?

Hi ha empreses, i no té per què ser sempre una qüestió de grans corporacions, que hi creuen en les bones pràctiques com a senyal d’identitat. Allò de fer-se un bon nom no només fent bé la feina sinó també fent-la de manera ètica, responsable i respectuosa.

En un moment donat, se li va posar nom i tot allò que l’empresa feia, no necessàriament quant a negoci, que contribuïa a generar valor es va aixoplugar sota el paraigua anomenat Responsabilitat Social Corporativa. En general, eren accions cap a fora de l’organització, però, és clar, no podia ser només un aparador d’il·lusions, a la rebotiga, les bones maneres de fer devien ser la norma també.

Això que per moments podia haver estat una moda, s’ha consolidat fins al punt que ja ha deixat de ser una opció i té una clara i creixent legislació a sobre. És en gran part el que s’anomena ‘compliance’, és a dir, el compliment normatiu com a marc d’actuació innegociable. El fet que aquest codi intern sigui efectiu genera confiança en l’organització pels valors i compromisos en el compliment de les seves obligacions dins i fora.

En aquest sentit, una de les qüestions més en voga, relacionada amb el funcionament intern, és el sistema de denúncia. Sobretot perquè abans de final d’any, els països de la Unió Europea han de transposar la Directiva Europea sobre protecció de denunciants. És a dir, el mecanisme per fer efectiva una eina anticorrupció des de dins de les organitzacions. L’objectiu és permetre fer públiques denúncies incorrectes de forma anònima i seguir obtenint protecció legal, sempre que actuïn de bona fe. I aquí és on entra la legislació de protecció de dades per permetre i assegurar aquests canals alertadors de corrupció.

No tothom està obligat a obrir aquest canal de denúncies. Sí ho és per organitzacions amb més de 50 empleats. El fonamental és informar els treballadors de l’existència del sistema de denúncies i del tractament de les dades que suposa la formulació d’una denúncia. Habitualment és una bústia online. S’ha de permetre l’anonimat del denunciant i si no és així, la informació del denunciant ha de quedar fora de perill i no facilitar-ne la identificació al denunciat. Això implica implementar mesures reforçades de seguretat i confidencialitat de la informació. L'accés s'ha de limitar exclusivament a qui desenvolupi les funcions de control intern i de compliment i, cal destacar finalment que les dades s'han de conversar només el temps necessari per a la investigació dels fets. En tot cas, s'han de suprimir transcorreguts tres mesos des de la seva introducció al sistema de denúncies.

Sense dubte, s’esdevé un gran repte. El risc de no fer bé les coses és cada cop més elevat.

Jordi Ventura

May 26, 2022

En risc

De vegades, pot semblar que algunes recomanacions són pesades, repetitives i innecessàries. Perquè, és clar, ja ho sabem, estem previnguts i, a més, a nosaltres no ens ha de passar. La realitat, però, és molt tossuda. I als qui ens passem bona part de la nostra activitat professional advertint tot allò, ens acaba donant la raó amb el temps.

Hem parlat sovint de les polítiques de seguretat de la informació a les empreses, de les bones pràctiques i de les que hauríem de tenir erradicades dins de l’organització. Massa vegades? Sembla que són poques, perquè segons s’ha fet públic recentment, la ciberdelinqüència no para de créixer i ja és més probable patir un delicte virtual que no pas a la realitat física.

Els delinqüents veuen més factible treure profit d’un atac informàtic o una estafa en línia que d’un robatori “tradicional”. No cal donar la cara i fent-ho massivament, només cal esperar que algú caigui al parany. A més, aquests delictes no es denuncien sempre i així és difícil de perseguir. Han augmentat fins a un 40%.

Tornem al principi. Estem segurs que a la nostra empresa no ens pot passar? Llavors, potser ens hem de plantejar dues vies d’acció. D’una banda, implementar un pla d’acció de seguretat de les dades, per evitar que s’hi pugui accedir externament a informació crítica. Això seria fer una revisió de procediments, protocols, maquinari i programari, per exemple. D’altra banda, i no menys important, formació de l’equip propi. Conèixer els riscos, identificar-los, saber com actuar en cas de possible amenaça, gestionar responsablement l’accés a la informació, disposar d’un codi de conducta… sempre pot existir l’error humà que desencadeni una crisi de seguretat, però amb el coneixement per saber quines situacions de risc es poden donar i com actuar davant de cada cas, és més probable esquivar l’amenaça de problema. Els falsos comunicats de bancs o proveïdors, les peticions estranyes per facilitar certes dades de contractes de subministrament o les ofertes irrenunciables ens han de fer aixecar l’alerta.

Aquesta formació és tan valuosa dins de l’entorn professional com personal. A ningú se li escapa que estem davant una temporada d’altíssima activitat comercial en línia. Dies de compres per Nadal, pel Black Friday, el Cyber Monday, les rebaixes… i no és plat de bon gust per ningú veure que aquella compra fantàstica en aquella web que semblava tan original mai acaba d’arribar a casa tot i el càrrec descomptat al compte bancari.

Jordi Ventura

July 08, 2022

Para la Galta

Hi ha temes que agafen embranzida dins l’agenda d’actualitat i sembla que ningú puguis sortir-se’n si no s’hi suma a l’onada de l’última tendència. En alguns casos són modes absolutament passatgeres, però d’altres arriben irremeiablement per quedar-s’hi. Ens agradi o no. Un d’ells, bé podria ser l’ús de sistemes de reconeixement facial.

Aquesta, segurament, no serà una moda puntual. Hi ha massa potencial darrere i, per tant, molta inversió en R+D que potencia aquesta tecnologia. El negoci sembla sucós com per invertir-hi per aconseguir el millor sistema per a cada potencial finalitat. I en aquesta situació és quan arreu sentim aplicacions i usos del reconeixement biomètric que venen per solucionar la vida de les persones i fer tot més ràpid i més còmode només posant la cara davant un escàner.

D’entre els exemples més recents podem enumerar la verificació i vigilància dels estudiants que fan exàmens virtuals, el desbloqueig del telèfon mòbil sense haver de teclejar el codi de seguretat o dibuixar cap patró amb dit, l’accés a les fires comercials, l’embarcament als aeroports, operar amb el caixer automàtic del banc de torn o obrir el teu cotxe.

El mantra, en tot cas, és la seguretat. La biometria com a tallafocs del frau, l’estafa o el ciberdelicte. I, així, cada setmana veiem notícies de nous desenvolupaments per a nous usos.

La qüestió que alerta als que, més enllà dels avenços tecnològics, es preocupen de vetllar pels drets de les persones també és que tot plegat s’està fent sense una regulació clara. Això pot posar en perill drets fonamentals, perquè no obviem que tot això funciona partint d’una recol·lecció massiva de dades personals.

Si ens limitem a l’espai europeu i posem en joc el reglament general de protecció de dades, on situem aquells principis de proporcionalitat, de minimització o el consentiment exprés i el dret d’accés… o la informació de per a què es recullen les dades personals i fins quan. Perquè realment és necessari que el banc tingui informació biomètrica dels seus clients per poder fer un ingrés, una transferència o treure diners del caixer? Estem segurs que l’escanejat de la cara serà únicament i exclusiva per fer aquestes operacions tan rústiques i que no influirà en el fet que cap algoritme pugui decidir després si concedeix un crèdit, denega una assegurança o aplica diferents comissions. Aquest tipus de tecnologia no és innòcua i, lamentablement, ja sabem que no és lluny d’usos invasius, extralimitats i discriminatoris per raons classistes, masclistes o racistes.

Per això és important no abraçar aquests avenços tecnològics per defecte. Exigim certa reflexió al darrere i una garantia pels nostres drets. Si ens l’han clavada un dia, potser no cal posar l’altra galta de seguida.

Jordi Ventura

June 15, 2022

Una copa ? El seu Passaport ?

El tema l’hem comentat ja alguna vegada i, com es podia preveure, tard o d’hora havia de ser motiu de polèmica.

Quan, en el seu moment, es va presentar el passaport Covid, o Certificat Digital Covid-19 de la Unió Europea oficialment, la mesura estava justificada pel fet de poder facilitar la mobilitat i no entorpir més l’activitat econòmica, que prou estava patint per la pandèmia. A grans trets, l’objectiu era que activitats comercials i turístiques poguessin iniciar la remuntada com més aviat millor. Lògicament, ja hi va haver veus d’alerta quan tota aquesta teoria tocava de peus a terra. Uns sí i altres no? Tot en funció de si al seu territori hom té accés a la vacunació i, per tant, al salconduit. No generarà discriminació ni desigualtats, es deia en la seva defensa.

La realitat és que sí. Només pel fet de portar ritmes de vacunació diferents, la Unió Europea fomenta i permet tractes desiguals als seus ciutadans. I això que en altre moment seria motiu de crítica, enguany es justifica per la pandèmia i es tolera majoritàriament. Amb una informació de salut per endavant i a sobre de la taula, recordem dada de caràcter personal sensible, s’habiliten drets a uns o altres, segons la situació personal de cadascú.

Sense passaport, comencen el problemes. És a dir, sense vacunar-se. Certament, el bé comú de la salut col·lectiva es pot plantejar com una finalitat superior a la decisió personal de cadascú de quan vacunar-se o no fer-ho. Però els darrers passos comencen a ser coercitius. Limitar la mobilitat als no vacunats? No permetre l’assistència al lloc de treball? o en menor mesura, no permetre l’accés a espais interiors… Així d’entrada, drets fonamentals, no només a la privacitat i protecció de dades personals, semblen ben tocats. La qüestió és que hi ha cert territoris que anuncien mesures en aquesta línia. I tot just quan fa pocs dies s’ha qüestionat des del Tribunal Constitucional el decret de l’estat d’alarma en les setmanes més dures i demolidores de la pandèmia. Si llavors, ni el Covid hauria d’haver permès un confinament i unes limitacions que tothom va entendre, què fem ara?

Veurem si abans de prendre res en una terrassa aquest estiu en algun moment se’ns demanarà la pauta de vacunacions. Exageració (o no) a banda, de cara a l’estiu, no està de més recordar que la privacitat no ha de marxar de vacances. Pensem si cal publicar fotos de tot el que fem, de les dates que estem fora de casa, amb qui sopem i com juguen els nens a la platja. Si exigim per una banda, no ho fem saltar pels aires de l’altra.

Jordi Ventura

May 26, 2022

La mascareta, si us plau

Ara ja fa molts mesos que anem amb la mascareta posada i la cosa s’està fent realment llarga. Sembla que ja serà per poc temps, almenys per estar a l’exterior. Tanmateix, val a dir que amb aquest “obligat” complement quotidià la ciutadania s’ha comportat molt bé. Després de tant temps, la consciència encara guanya el cansament i majoritàriament tothom la porta posada. Sempre hi ha algun despistat, voluntari o no, que no ho fa. Després estan les persones que, per la seva situació personal, no cal que la portin perquè els hi pot fer més mal que servei.

Aquest col·lectiu de persones té tot el dret a aquesta exempció per motius de salut. Ara bé, com aquí agrada fer-se el murri i creure’s així més espavilats que ningú, hi ha qui esgrimeix que no porta mascareta perquè no l’ha de portar, que pot anar-ne sense. I doncs? Ens l’hem de creure. O no?

Aquesta situació, pel fet d’haver de permetre l’accés a espais interiors, públics o privats, ha generat la suficient confusió perquè l’Autoritat Catalana de Protecció de Dades s’hagi hagut de manifestar. Fins fa no gaire, tothom hauria recomanat al responsable d’un negoci o equipament que no demanés cap informació de dades personals sensibles en cap cas, a no ser que per la seva activitat fos estrictament necessari i amb totes les mesures de control requerides. Coneixedores d’aquesta situació, si algú sense mascareta era qüestionat pel fet abans d’entrar en un espai interior, el normal era dir que per motius de salut que no ve al cas explicar per guardar la seva privacitat, n’estaven exemptes.

Doncs això ha canviat amb la pandèmia. L’Autoritat Catalana de Protecció de Dades ha determinat que és lícit que els establiments, públics i privats, requereixin a les persones que volen accedir-hi sense dur la mascareta posada la documentació acreditativa d’alguna circumstància que les eximeix d’aquesta obligació, encara que hi figurin dades personals que es consideren sensibles. Les normes generals de prevenció imposades per les autoritats sanitàries per fer front a la COVID-19 tenen prioritat. Per tant, és legítim requerir aquesta acreditació amb informació personal.

No permetre l’entrada a algú que es negui a mostrar aquesta documentació, el típic dret d’admissió, no és discriminació. En aquests casos, la principal obligació del responsable de l’espai és la salut de treballadors i altres visitants i per tant ha de vetllar pel compliment de l’ús obligatori de la mascareta dins del seu equipament o establiment. Coses que sí canvien amb la pandèmia.

Jordi Ventura

July 08, 2022

Nou passaport per les vacances

Ja fa un temps que va començar el debat sobre si calia algun tipus d’acreditació sanitària per permetre que les persones vacunades poguessin tenir una altre tipus de consideració, quant a mobilitat, enmig de la situació de pandèmia que vivim. Si no són un risc per a la salut dels altres, teòricament, per què han d’estar subjectes a limitacions comunes?

Tampoc cal enganyar-se, aquest gest per afavorir la circulació de les persones no és únicament per garantir la llibertat de moviments, un dret fonamental, sinó un intent per afavorir certa reactivació econòmica d’un sector estratègic com és el turístic. Si alguna cosa ha demostrat aquesta crisi del coronavirus, ha estat la dramàtica dependència del turisme i de l’arribada de milions de passatgers al país, per tant, qualsevol cosa que pugui fomentar el retorn de turistes té sempre un suport majoritari de la societat.

Una de les maneres de fer-ho ha estat plantejar l’anomenat passaport sanitari, un salvoconducte per assegurar la mobilitat a qui està vacunat i no representa un perill per escampar el virus. És clar que això pot posar els pèls de punta només de pensar en l’ús inapropiat d’aquesta informació personal. Són dades especialment sensibles les de salut, però resulta que si és per viatjar i evitar inconvenients propis de la pandèmia, potser ja es pot relaxar la qüestió legal. D’entrada, no estant tothom en igualtat de condicions per disposar d’aquest passaport, el tema ja sembla sospitós de discriminatori. Com s’ho faran uns i altres per no vulnerar els drets de les persones?

A hores d’ara, els països de la Unió Europea treballen a contrarellotge per enllestir la part tècnica de l'anomenat Certificat Digital Verd, com anomenen al passaport anti-covid. Espanya ja està fent proves tècniques amb intenció d’implementar-lo a partir de l'1 de juny, tot i que tampoc no es podrà utilitzar fins que no hi hagi un acord entre els estats i el Parlament Europeu sobre la legislació que regula el document. I com acostuma a passar en qüestions de política europea, la cosa no pinta senzilla, ja que no existirà una única aplicació europea, sinó que cada estat en tindrà una que permetrà guardar els certificats homologables a la UE que demostrin la vacunació, haver passat la covid-19 o un negatiu.

Per acabar-ho d’adobar, el salconduit estarà disponible tant en versió digital com en paper, tot i que la proposta fomenta l'ús del mòbil per facilitar la mobilitat. Un afegitó més per posar tots els ulls en el tema i assegurar que tot plegat no suposa un atropellament al dret de les persones a la protecció de dades de caràcter personal i a la pròpia privacitat.

Jordi Ventura

June 15, 2022

¿Fent memòria....hem millorat?

Fa uns dies, l'Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Memòria 2020. És la foto "oficial" de com ha estat l'any pel que fa a la protecció de dades personals. No seria exacte dir que la situació és aquesta, perquè està clar que no tot el que passa en aquest sector queda registrat allà, però almenys sí que recull de forma exhaustiva les activitats realitzades per aquesta institució.

És interessant per les xifres, les tendències destacades i per les decisions i procediments més rellevants de l'any. I, és clar, per observar si hem millorat o no i la protecció de dades avança per bon camí.

Lògicament, l'any ha estat marcat per l'inesperat i excepcional de la pandèmia, la qual ha tingut un impacte brutal en el sector. Hem vingut parlant de teletreball, digitalització, assistència sanitària virtual, gestió de dades especialment sensibles, com són les de salut ... i la manera de suportar tot això ha estat dispar, ho sabem. Hi ha qui s'ha adaptat bé, qui tenia la feina feta, qui l'ha salvat com ha pogut i qui s'ha vist absolutament superat incapaç de fer front a les circumstàncies que ha exigit la COVID-19, també pel que fa a la normativa de protecció de dades personals.

En general, es pot dir que no hi ha grans novetats en la panoràmica àmplia. El nombre de reclamacions es manté una mica per sota de les 12.000 i la temàtica que les provoca fan referència, amb més freqüència, a serveis d'internet (16%), inserció indeguda en fitxers de morositat (15%), videovigilància (12%), recepció de publicitat (excepte spam) (7%) i reclamació de deutes (6%).

Sí que hi ha més resolucions sancionadores (un 16% més que l'any anterior), tot i que només se’n va imposar una sanció econòmica a 172. Les àrees més freqüents en els procediments sancionadors són videovigilància (24%), serveis d'internet (19%) , Administracions Públiques (10%) i telecomunicacions (7%). És rellevant el fet que la videovigilància estigui cada vegada més present en aquests rànquings d'infraccions / sancions. Probablement sigui per l'ús cada vegada més gran d'aquesta tecnologia, ja sigui en centres de treball, en el propi carrer o també entre particulars i petits negocis, però la veritat és que alguna cosa no s'està fent bé.

Ara bé, els sectors més sancionats amb multa són les entitats financeres / creditores (més de 5 milions d'euros) i les telecomunicacions (per sobre del milió). Tots dos sumen el 76% de l'import global de sancions, que el 2020 va ser també un 27% més elevat que el 2019.

Una última dada a destacar. A Espanya ja hi ha notificats oficialment més de 65.000 delegats de protecció de dades, però l'Administració pública "punxa". Diputacions, ajuntaments i entitats locals segueixen estant lluny del total de responsables que componen l'administració local a Espanya i que han de tenir un DPD. Falta camí.

Jordi Ventura

May 26, 2022

¿Un passaport de salut ?

La Comissió Europea ha proposat la creació d'un certificat digital verd per facilitar la lliure circulació segura dins de la UE durant la pandèmia de COVID-19. És a dir, una acreditació del fet que una persona ha estat vacunada contra la COVID-19, s'ha recuperat de la COVID-19 o s'ha realitzat una prova el resultat de la qual ha estat negatiu. L’objectiu és garantir que els ciutadans de la UE es beneficiïn d'una eina digital harmonitzada per donar suport a la lliure circulació de les persones dins de la Unió quan el percentatge de població europea vacunada contra el coronavirus sigui prou elevat. Aquest és el missatge oficial formal, la lectura a peu de carrer és que la reactivació econòmica, a través del turisme fonamentalment, està darrere aquesta decisió que, si més no, ha començat a generar cert debat per les implicacions legals i ètiques que s’intueixen.



Lògicament, s’ha aixecat l’alerta sobre si la seva idoneïtat per qüestions d’igualtat de drets i no discriminació. I és clar, per la possible vulneració del dret a la privacitat i la protecció de dades de caràcter personal que la UE ha posat tants cops últimament en el focus de la seva acció, afortunadament, d’altra banda. No pot sorprendre que el club de països europeus valori en clau econòmica la situació i consideri aquest passaport una eina útil i fàcil d’usar per batallar amb la crisi i donar suport a futura recuperació. No obstant això, que ho faci amb un certificat que basa l’atorgament d’uns drets, o que no els limita en igual mesura, a unes persones o altres en funció en funció d'una situació personal o social i d’informació de salut, és xocant.



De seguida s’ha dit que no és discriminatòria, que és segura i que, per descomptat, respecta plenament la protecció de dades. Podem atorgar el benefici del dubte, però seria més responsable exigir explicacions més detallades primer. Serà gratuïta, en format digital o en paper, i inclourà un codi QR per garantir-ne la seguretat i autenticitat del certificat. Teòricament, tothom hi podrà accedir. A tots els països? I qui ho tingui, quedarà exempt de les possibles restriccions de salut pública que decideixi cada país.



El més sorprenent, però, és que la pilota d’aquest joc és el control de dades especialment sensibles. El mateix RGPD europeu ha estat un baluard en defensa de protecció d’aquestes dades, per això ara és d’esperar que hi hagi un límit clar per a l'elaboració de documents amb aquesta finalitat, minimitzant el tipus de dada i assegurant mecanismes de confidencialitat.

Jordi Ventura

July 08, 2022

El dia de la protecció de dades

Cada any, el 28 de gener està dedicat, dins l’enorme i divers calendari de “Dies de...”, a la Protecció de Dades. És una petita excusa que tenim per donar una mica més de visibilitat al tema que ens ocupa. Tanmateix, com s’acostuma a dir en aquests casos, el Dia Europeu de la Protecció de dades és cada dia. Segur que si ens plantegem, com a ciutadans, trobar en la nostra activitat diària un moment de relació entre allò que tenim al davant i l’abast de la protecció dels drets de les persones a la cura de les seves dades, n’identificarem ràpidament més d’un. Ni que sigui començant per aquella càmera de videovigilància que té el forn de pa on comprem l’esmorzar o fem el primer cafè del matí.



Amb motiu d’aquesta efemèride, l’Autoritat Catalana de Protecció de Dades va publicar un decàleg que tracta els temes més rellevants de la privacitat i la protecció de dades en el context actual, com són la protecció de dades i els menors, l’ús de les xarxes socials i els dispositius mòbils, la intel·ligència artificial, el teletreball, internet de les coses, el consentiment i els drets de protecció de dades, la videovigilància i el rol dels delegats/ades de protecció de dades. És un bon esforç per a la difusió d’aquests temes i s’agraeix. Alhora, ser conscients de la dimensió de tot el que implica la salvaguarda de la privacitat de les persones és aclaparadora. Cada concepte de què l’APDCAT ens instrueix és per si sol d’una profunditat i d’una mesura que pot arribar a desbordar al profà. Als professionals se’ls assumeix la responsabilitat d’entendre-ho, calibrar-ho i ser capaç de transmetre-ho de la millor manera. Aportant valor en la pedagogia i facilitant el compliment normatiu.



El camí que hi ha al davant és llarg. Molt. Tot i l’esforç de conscienciació, en l’àmbit del RGPD, l’autoritat de control que més sancions ha tramitat en tota Europa és la d’Espanya. L’Agencia Española de Protección de Datos (AEPD), no és la que sanciona amb més duresa, però és líder en expedients sancionadors per vulneracions del reglament europeu de protecció de dades. En qualsevol cas, atenció a les multes, perquè entre desembre i gener, l’AEPD ha imposat sancions per import d’11 milions d’euros a dues entitats bancàries: BBVA i CaixaBank.



En ambdós casos, l’origen està relacionat amb qüestions que afecten qualsevol que faci tractament de dades personals: la recollida de dades, la informació oferida i el consentiment de l’interessat. Sembla bàsic a aquestes alçades del partit, però fins i tot a aquests nivells d’empresa pot haver-hi dèficits en la informació que s’ha de facilitar quan les dades personals s’obtenen de l‘interessat. I d’altra banda, també, en els requisits establerts per a la prestació d’un consentiment vàlid, és a dir com a una manifestació de voluntat específica, inequívoca i informada.

Jordi Ventura

June 15, 2022

WhatsApp recula...de moment

Només començar l’any, l’aplicació de missatgeria instantània WhatsApp anunciava a tots els seus usuaris un canvi de la seva política de privacitat i un termini d’un mes per acceptar-lo o no. Si no es donava consentiment, l’usuari no podria continuar fent servir l’aplicació. WhatsApp té més de 2.000 milions d’usuaris arreu del món.

És ben segur que bona part d’aquesta audiència va acceptar les noves condicions d’ús i va seguir utilitzant l’aplicació sense més preocupació. Alguns per despreocupació, total ja no ve d’aquí i tant és l’ús que fan i deixen de fer de les dades personals o genèriques que recopilen. No només WhatsApp, sinó qualsevol altra. Són aquelles persones que fan servir les eines que se’ls posen al davant si els semblen útils, divertides o imprescindibles. D’altres potser van acceptar amb resignació. És el que toca. Saben que la gestió de les dades que en fan ara, i les que anuncien que faran, amb tota probabilitat està lluny de ser un tractament que garanteixi total privacitat, però clar. Com pots assegurar això a l’era digital? I què no faran altres també? Tant per tant, intentaran autoconvèncer-se de que no fan un ús massa perillós i seguiran allà perquè ha de poder continuar comunicant-se amb els seus contactes personals i professionals.

I després estan els usuaris que sí llegeixen un mica les condicions d’ús i polítiques de privacitat diverses, s’ha de reconèixer que és una feina complicada de dur a terme molt sovint, i acaben alertant la resta de quins canvis hi ha a la vista i què impliquen. Què passava amb les noves normes de WhatsApp? Que demanava consentiment per compartir informació recopilada a l’app amb l’empresa mare de la corporació, Facebook. Sí, l’empresa que té el record de multes milionàries per vulneracions de la privacitat de les persones. Com diuen… què pot sortir malament? Recordem-ho. WhatsApp no et fa pagar, però no és gratis. S’ho cobra amb informació.

El cop gran, per a nosaltres, aquí, el tenim aturat d’entrada. L’avís de WhatsApp no aplicava als usuaris de la Unió Europea, emparats pel famós RGPD, Reglament general de protecció de dades. Tanmateix, tot i l’excepció, l’usuari havia d’acceptar el consentiment. És curiós. La desconfiança és notable. Tant, que la reacció dels usuaris ha fet ajornar els canvis de l’aplicació. Després d'una caiguda en les seves descàrregues i un repunt inèdit en la quantitat d'usuaris nous reportats per les seves competidores, WhatsApp ha decidit posposar tres mesos els canvis en les seves condicions d'ús. No vol dir que vagin a deixar d'utilitzar WhatsApp, però sí que manifesta un desig d'explorar la possibilitat de comunicar-se per noves vies. És un bon exercici.

Jordi Ventura

Serveis Windat

Els nostres serveis son:

Servei Windat RGPD

Les etapes principals per a una correcta implementació del Reglament general de protecció de dades són:

Anàlisi i Recollida d'informació presencial a l'empresa.
Registre d’Activitats de Tractament.
Redacció de Documentació.
Avaluació d’Impacte relativa a la Protecció de Dades.
Implantació, Assessorament i control presencial a l’empresa.
Implantació i Assessorament LSSI-CE
Això inclou tasques a realitzar com:

- Identificar els tractaments existents que es puguin considerar contenidors de dades de caràcter personal.

- Establir quina és la persona identificada com a responsable del tractament i encarregat del tractament dins l'empresa, els quals seran responsables d'autoritzar a la resta d'usuaris per tractar les dades de caràcter personal així com identificar persones autoritzades pel tractament de dades, ja sigui pel seu desenvolupament laboral o extern.

- Establir si és necessari DPO.

- Especificar les persones que tenen, per raó del seu desenvolupament laboral a l'empresa, accés a les dades de caràcter personal, i a través de quin sistema ho fan.

- Identificar les persones autoritzades per tractar amb dades personals fora del local del responsable dels tractaments, sigui físicament en paper, o mitjançant dispositius portàtils com ordinadors, tauletes o smartphones.

- Anàlisi dels grups de Tractament de les dades, així com les Mesures de Seguretat tècniques i organitzatives automatitzades i no automatitzades.

- Anàlisi de riscos que un determinat tractament pot tenir pel dret de dades afectades, amb l’objectiu d’adoptar les mesures necessàries per eliminar-los o minimitzar-los.

- Detallar procediment actuacions.

- Establir quins són els sistemes, telemàtics i/o manuals, pels quals s'accedeix a les dades de caràcter personal per part de les persones vinculades a l'empresa, siguin treballadors, autònoms, o col·laboradors.

- Detallar els procediments de còpies de seguretat, la recuperació de dades, trasllat, destrucció i el registre de les incidències i el registre de les notificacions de les violacions de seguretat a l’Autoritat de Control.

- Redacció de contractes de "Confidencialitat i Secret" personalitzats i incorporats al Document de Seguretat amb tots els treballadors i treballadores de l'empresa.

- Redacció de "Contractes de Prestació de Serveis amb accés a dades de tercers" personalitzats i incorporats al Document de Seguretat amb els principals proveïdors que tinguin accés a dades, en qualitat d'Encarregats de Tractament. Els principals "Encarregats de Tractament" seran l'assessoria/gestoria, els proveïdors de software, manteniment informàtic, assessors jurídics i advocats, notaris, etc.

- Redacció de "Contractes de Prestació de Serveis sense accés a dades" personalitzats i incorporats al Document de Seguretat. Els principals serveis que accedeixen a les instal·lacions on es troben les dades però que no tenen accés a dades de forma directa solen ser: servei de neteja, manteniment d'extintors, manteniment d'ascensors o elevadors.

- Redacció personalitzada de les clàusules legals RGPD en tots aquells formularis o documents on i hagin dades personals, com per exemple: pressupostos, comandes, e-mails, fitxes de clients, accions comercials, factures o contractes.

- Redacció del procediment intern per al compliment dels drets de l’interessat (accés, rectificació, cancel·lació, oposició (antics drets ARCO), dret a l’oblit, dret de supressió, dret a la limitació del tractament i dret a la portabilitat.

- Recull de totes les mesures i dades en el document de seguretat i enviament telemàtic.

- El Registre d’Activitats de Tractament, tant com a responsable del tractament, com a encarregat del tractament, si escau.

- Documentació de l’anàlisi de riscos realitzat.

- La/es Avaluacions d’Impacte relativa/es a la Protecció de Dades, si escau.

- Les mesures de seguretat implantades.

- Les funcions i obligacions del personal amb accés a dades personals.

Servei Windat Presencial

La proximitat al client ens defineix. Des de la filosofia de servei Windat, el suport presencial és fonamental en la gestió del Reglament General de Protecció de Dades i permet màxima comoditat i seguretat pel client.

No només proposem i executem les accions necessàries per a complir amb el Reglament General de Protecció de Dades. També som al vostre costat per assegurar la seva implementació de manera òptima.

Cadascú es focalitza en el seu camp d'expertesa, per això Windat està allà on cal executar tot el referit al RGPD.

Els nostres serveis en protecció de dades són sempre fets a mida segons les necessitats i particularitats de cada cas d'acord amb el RGPD, per això treballem mà a mà amb el client des de casa seva.

El control presencial a l’empresa assegura la implantació, el control i l’assessorament més adient.

Consulta’ns i coneix tot el que podem fer per a vosaltres.

Assegurem la implantació de les mesures de seguretat, de les clàusules legals als documents, la signatura i segell de tots els documents personalitzats, contractes de confidencialitat amb treballadors, contractes de prestació de serveis amb tercers, amb accés a dades i sense accés, contractes de cessió de dades a tercers, i us ajudem amb la formació de l’equip intern.

Servei Windat RGPD i PRL

RGPD i PRL van de la mà, ja que les empreses gestionen dades personals confidencials dels treballadors, els quals tenen dret a la protecció de la seva intimitat, però d'altra banda és precís que aquesta informació sigui tractada ja sigui per temes de salut, resultats dels seus reconeixements mèdics o en compliment del RD 171/2004 de Coordinació d'Activitats Empresarials quan són enviats a treballar a casa d'un client o quan reben treballadors d'altres empreses per treballar a les seves instal·lacions o per a ells. La immensa majoria d'empreses no en fa un ús i tractament correcte d'aquesta informació i per tant està en constant risc.



Tractament de dades personals segons la seva naturalesa, àmbit, context i finalitats del tractament
Coneix les funcions i obligacions de tot el teu personal.
Les mesures de seguretat de la informació.
La gestió del Document de Seguretat.
El tractament de dades personals amb tercers.
El risc de ser sancionat.
Qui pot veure i tractar dades? Qui autoritza l'accés a la informació? Qui és el responsable de seguretat? Quan es poden cedir dades? Com serà la nova normativa europea i com us afecta?



Coordinació d'Activitats Empresarials.
Avaluació de necessitats.
Procediment de gestió de dades
Gestió de personals extern rebut a les instal·lacions
Gestió de personal propi fora de les instal·lacions
Les mesures de seguretat de la informació.
Tractament de revisions mèdiques
Tractament de dades de salut
En un marc més ampli, Acció Preventiva, col·laborador especial de Windat, ofereix un acompanyament al client cap a cotes d'accidentabilitat zero mitjançant la millora de la percepció del risc dels seus treballadors.

Servei Windat Formació

Sessions "in company".

Conèixer de forma teòrica i pràctica els principals riscos que, en el seu sector, assumeixen en matèria de Protecció de Dades: les obligacions com a responsables dels tractaments que s'efectuïn amb les dades de caràcter personal dels ciutadans i del seu personal, així com les mesures de prevenció destinades a disminuir aquestes implicacions.



​Preparades a la vostra mida i adaptades a les vostres necessitats quant a durada i contingut.



Optimitzareu el tractament de dades personals a l'empresa millorant el rendiment dels vostres procediments de gestió.



Evitareu riscos innecessaris en l'incompliment de la llei.



La desconeixença genera incertesa


Coneix les funcions i obligacions de tot el teu personal.
Les mesures de seguretat de la informació.
La gestió del Document de Seguretat.
El tractament de dades personals amb tercers.
El risc de ser sancionat.
Qui pot veure i tractar dades? Qui autoritza l'accés a la informació? Qui és el responsable de seguretat? Quan es poden cedir dades? Com us afecta la normativa europea?



Per una correcta implantació del RGPD, totes aquestes preguntes han de tenir una resposta clara i eficient.

Servei Windat e-Privacy

Una màxima d'avui en dia és "cal estar a Internet, si no, no existeixes". I pot ser molt raonable pensar així, sembla poc probable que una empresa o professional no estigui visible i actiu a Internet com a mínim amb una pàgina web. Alguns, és clar, ja basen el seu negoci en la xarxa i llavors no és un afegit, és ben bé el core bussines de la seva activitat.

En aquest sentit, és imprescindible ser a Internet amb total seguretat i complint els requisits legals, entre ells un dels més importants, el Reglament General de Protecció de Dades i l'específica sobre Serveis i Seguretat de la Informació i del Comerç Electrònic.

Windat ofereix un servei complet d'implantació i assessorament
Detall actuacions:

Anàlisi sobre el compliment de la LSSI-CE. - Redacció de la clàusula d'informació.
Redacció de la política d'enllaços.
Redacció de la política de cookies.
Redacció dels drets de propietat intel·lectual i industrial. - Limitació de responsabilitats.
Redacció de clàusules legals sobre protecció de dades.
Redacció de les condicions generals de contractació.
Redacció de les clàusules per l'enviament de comunicacions electròniques. - Jurisdicció i lleis aplicables.

Què és un DPD ?

Amb l'aprovació de la nova legislació en protecció de dades, d'una banda el Reglament General de Protecció de Dades (RGPD) i de l'altra la Llei orgànica de Protecció de Dades i Garantia de Drets Digitals, apareixen una sèrie de requisits i obligacions, sancions incloses, que afecten un bon nombre de corporacions i negocis. Una de les obligacions més destacades és la incorporació de la figura del Delegat de Protecció de Dades (DPD) o Data Protection Officer (DPO, per les seves sigles en anglès).

Què és un DPD?
És una nova figura professional, especialista en dret de protecció de dades, la principal labor del qual és garantir que es compleix la normativa en aquest àmbit.

En què consisteix la seva feina?
Ha d'informar, supervisar, divulgar i coordinar la política de protecció de dades en l'empresa o administració en la qual presti els seus serveis. A més, ha de vetllar pel compliment de la normativa espanyola i europea sobre el tractament de dades personals i assessorar sobre els riscos que pot comportar un determinat servei que ofereixi la companyia, la qual cosa es denomina Avaluació d'Impacte en la Protecció de Dades Personals (EIPD). També ha de cooperar amb les autoritats de control en el cas que es detectin irregularitats en el tractament de les dades. Les seves funcions són:

A) Funció d’informació i assessorament normatiu:

Ha d'informar i assessorar el responsable o l'encarregat del tractament de les obligacions normatives en protecció de dades que els incumbeixin. I informar, formar i assessorar els empleats que tractin dades personals dins les organitzacions responsables o encarregades del tractament, procurant la implantació de programes de formació i sensibilització del personal en matèria de protecció de dades.

B) Funció de supervisió del compliment normatiu:

Ha de supervisar l'adequat compliment de les normes sobre protecció de dades en l'entitat o organització, implantant polítiques i protocols en protecció de dades.

C) Funció de cooperació i enllaç amb l’autoritat de control:

Ha de cooperar amb l'autoritat de control, o agència de protecció de dades corresponent; actuar com a punt de contacte de l'Agència per a les qüestions relacionades amb el tractament de dades personals inclosa la consulta prèvia, i ha de resoldre les reclamacions dirigides a l'Autoritat de control actuant de mediador.

D) Funció d’atenció als interessats:

Ha d'atendre els interessats que ho sol·licitin, establint mecanismes de recepció i gestió de les sol·licituds d'exercici de drets per part dels interessats i resoldre reclamacions dirigides per interessats afectats.

Quines empreses estan obligades a tenir un DPD?
La seva presència és obligatòria en les administracions públiques (excepte els tribunals de justícia), i en qualsevol empresa i entitat privada que la seva activitat principal consisteixi en l'observació habitual i sistemàtica d'interessats (realitzar perfils, observar als usuaris…) en gran volum, durant llargs períodes de temps i en un àmbit geogràfic molt ampli.

També han de comptar amb un Delegat de Protecció de Dades aquelles companyies que manegin dades de persones a gran escala sobre temes especialment sensibles (ideologia, salut, qüestions penals…).

També estan obligades totes aquelles empreses que es trobin en un dels sectors empresarials del llistat que conté la LOPDGDD (consultar llistat adjunt).

En qualsevol cas, és recomanable que en determinats casos, malgrat no estar obligats, es compti amb aquesta figura per a complir amb el principi de responsabilitat proactiva i disposar d'aquest actiu per a així crear confiança als clients.

El DPD ha de formar part de la plantilla?
No necessàriament. Pot estar integrat en la plantilla o ésser un professional aliè que exerceixi les seves funcions a través d'un contracte de serveis. L'important és que actuï d'una forma independent. En cas de ser un treballador intern de l'organització cal tenir en compte que:

El DPD no rebrà instruccions per part dels responsables o encarregats del tractament quant a l’exercici de les seves funcions com a DPD.
No podrà ser sancionat o destituït pel responsable del tractament per l’acompliment de les seves funcions.
Hi haurà conflictes d’interès amb altres possibles funcions i obligacions:
- Llocs d’alta direcció.

- Càrrecs inferiors però que porten a la determinació de les finalitats i mitjans de tractament.

- Qui defensi als tribunals al responsable o encarregat en qüestions de protecció de dades.

Tant si és extern com intern, l’organització ha de garantir, que:

Es convida al DPD a participar amb regularitat en reunions amb els quadres directius alts i mitjans.
Es recomana que estigui present quan es prenen decisions amb implicacions per a la protecció de dades. Tota la informació pertinent ha de transmetre's al DPD al seu degut temps amb la finalitat que pugui prestar un assessorament adequat.
L'opinió del DPD es té sempre degudament en compte. En cas de desacord, el Grup de Treball recomana, com a bona pràctica, documentar els motius pels quals no se segueix el consell del DPD.
Es consulta al DPD amb promptitud una vegada que s'hagi produït una violació de la seguretat de les dades o qualsevol altre incident.
Quins avantatges tinc en designar un DPD en la meva empresa?
1.- Evitaràs sancions de l’AEPD

Les sancions imposades pel nou RGPD i la LOPDGDD són moltíssim més severes que les que es coneixen fins ara. Per tant, evitar les sancions més altes sempre és un avantatge. En el cas que infringeixis qualsevol de les normes d'aquest Reglament i Llei, el DPD ha de ser qui intervingui entre la teva companyia i l'AEPD per a poder esclarir el que ha ocorregut. Sense cap dubte, en el cas que et sancionin, aquest professional serà un gran recurs a favor.

2.- Evitar fugues d'informació

En disposar d'un DPD en la teva empresa, farà que amb certa periodicitat es realitzin anàlisi i avaluacions dels tractaments i les mesures de seguretat aplicades, i amb això evitar possibles fugides d'informació.

3.- Tindràs un recurs a favor, si es produeix una violació de les dades

Un altre dels requisits que imposa la nova normativa és que, en cas que es doni una violació de les dades, es faci un informe en el qual es reculli el que ha passat. Per a, després, remetre aquest informe a l'AEPD. Si comptes amb un DPD en la teva organització, en cas que això succeeixi, podràs actuar de forma molt més ràpida a l'hora de pal·liar els efectes de la filtració o vulneració de la seguretat. Així com a l'hora d'informar les autoritats competents.

4.- Disposaràs d’un enllaç amb l’AEPD i amb els interessats

El DPD serà l'encarregat de resoldre les reclamacions que pugui fer un interessat, que d'una altra forma les resoldria l'AEPD i així evitar accions posteriors. Igualment, les sol·licituds de drets dels interessats les revisarà el DPD.

5.- Transmet seguretat i confiança als teus clients

El fet de disposar d'un DPD en la teva organització assegura als teus clients un interès i una voluntat de compliment en la normativa de protecció de dades i per tant una seguretat en les dades que el client diposita en la teva empresa.

Què passa si la meva empresa no compta encara amb un DPD?
Si l'empresa o administració està obligada a tenir un Delegat de Protecció de Dades i no l'ha incorporat s'enfronta a una multa. El nou reglament inclou importants sancions per incompliment.

Experiencies Windat

Contacte

Windat està format per un equip interdisciplinat orientat a donar el millor servei a professionals, pimes i grans empreses. Estem especialitzats en protecció de dades, però com que aquesta esfera és tan transversal, podem aportar valor en àmbits molt diversos dins les empreses i que pivoten al voltant de la privacitat, la seguretat i la gestió de la informació.

CRM form will load here
Utilizamos cookies
Preferencias de las cookies
A continuación, encontrará información sobre los propósitos para los cuales nosotros y nuestros socios utilizamos cookies y procesamos datos. Puede establecer sus preferencias para el procesamiento y/o consultar más información en los sitios web de nuestros socios.
Cookies analíticas Desactivar todo
Cookies funcionales
Otras cookies
Utilizamos cookies para personalizar el contenido y los anuncios, proporcionar las funciones que utilizan las redes sociales y analizar nuestro tráfico. Obtener más información sobre nuestra política de cookies.
Aceptar todo Rechazar todo Cambiar las preferencias
Cookies