MIssió
Oferir un assessorament i serveis integrals, personalitzats, de proximitat i de qualitat, amb la finalitat de donar un valor afegit en la gestió estratègica del negoci de les empreses.
Experta en protecció de dades. Implantació i auditora RGPD/E-PRIVACY. Amb àmplia experiència en àmbit de grans empreses tecnològiques. Sempre per endavant amb les constants actualitzacions normatives. Gestió documental per garantir la tranquil·litat dels clients.
Responsable de coordinar processos documentals durant la implantació del RGPD/E-PRIVACY. Execució de projectes, assistència i suport. L'experiència per saber estar sempre al costat de client, entendre les seves necessitats i inquietuds i donar solucions ràpides i eficaces. Normalment per telèfon, però també via xarxes socials.
Responsable de la supervisió i control de la gestió de l'empresa. Implementació d'eines tècniques i organitzacionals i avaluació d'ús i resultats. Amb gran capacitat analítica i proactiva per mantenir el rumb de tots els departaments de la companyia alineats amb els objectius generals.
Periodista, especialitzat en comunicació corporativa. Dins l'àmbit de l'empresa ha complementat la seva formació amb l'experiència al camp del màrqueting. És l'encarregat de traslladar la complexitat de RGPD al terreny pràctic, sempre de manera senzilla, clara i pedagògica.
Responsable de gestionar processos coordinació entre client i windat. Execució de projectes, assistència i suport. L'experiència per saber estar sempre al costat de client, entendre les seves necessitats i inquietuds i donar solucions ràpides i eficaces.
Especialista en implantació i assessorament del RGPD i la LOPDGDD, amb visió per aportar un valor afegir a la filosofia "escoltar, proposar, acompanyar" de Windat en complementar el tractament de dades amb la seva formació en Sistemes de Gestió de la Seguretat de la informació (SGSI)
Windat està format per un equip interdisciplinar orientat a donar el millor servei a professionals, pimes i grans empreses. Estem especialitzats en protecció de dades, però com que aquesta esfera és tan transversal, podem aportar valor en àmbits molt diversos dins les empreses i que pivoten al voltant de la privacitat, la seguretat i la gestió de la informació.
Oferir un assessorament i serveis integrals, personalitzats, de proximitat i de qualitat, amb la finalitat de donar un valor afegit en la gestió estratègica del negoci de les empreses.
Ser una organització compromesa amb la societat, referent i innovadora en el desplegament de recursos en l’àmbit de la protecció de dades i la seguretat de la informació, generant confiança als nostres clients i professionals per tal de satisfer les seves necessitats.
La gran estrella mediàtica ha estat la IA, en constant expansió però ja consolidada com una eina clau en sectors com la salut, les finances i l'entreteniment. El seu ús també ha generat lògiques preocupacions sobre la privadesa. Tecnologies com ara el reconeixement facial i els models de llenguatge avançats han plantejat preguntes ètiques sobre l'ús de dades personals.
Un dels temes centrals ha estat l'entrenament de models d'IA amb dades personals sense el consentiment explícit dels usuaris o vulnerant els drets d'autor. En aquest sentit, la Unió Europea ha començat a legislar, però només acaba de començar i és difícil acotar l'abús d'aquestes tecnologies, entre altres coses perquè l'opacitat sobre com funcionen molts algorismes dificulta la transparència i la rendició de comptes.
L'altre gran hit de l'any ha estat la presència constant en mitjans de comunicació de tota mena d'episodis de ciberdelinqüència. El phishing, el ransomware i el malware han continuat sent amenaces destacades. Segons informes recents, els atacs de ransomware han augmentat un 30% respecte a l'any anterior, amb un impacte especialment greu a petites i mitjanes empreses. Aquests atacs solen implicar el xifratge de dades sensibles, seguida de demandes de rescat per recuperar l'accés.
El phishing també ha evolucionat, aprofitant tècniques més sofisticades que imiten comunicacions oficials de manera gairebé perfecta. Mentrestant, el codi maliciós ha trobat noves maneres d'infiltrar-se en dispositius, des d'aplicacions mòbils aparentment innòcues fins a enllaços maliciosos compartits en xarxes socials.
Si mirem el tema normatiu, el 2024 ha estat fructífer. La Unió Europea ha implementat la Llei d'Intel·ligència Artificial (AI Act), que estableix criteris per al desenvolupament i l'ús d'aquesta tecnologia alhora que busca garantir que els sistemes d'IA siguin segurs, transparents i respectin els drets fonamentals dels ciutadans europeus.
A més, ha actualitzat el Reglament General de Protecció de Dades (RGPD), amb focus sobre la gestió de dades sensibles i l'enfortiment dels drets dels usuaris davant de les grans plataformes tecnològiques. Per exemple, introduint sancions més severes per a les empreses que no compleixin aquestes normatives. I finalment, destaquem la Llei de Resiliència Digital, que obliga les empreses del sector financer a implementar mesures de ciberseguretat robustes per protegir les dades personals dels usuaris davant dels ciberatacs.
En conclusió, els desafiaments persisteixen i l'educació en seguretat digital continua sent una assignatura pendent tant per a persones com per a empreses.
Jordi Ventura
Les xarxes socials estan utilitzant la intel·ligència artificial (IA) com una eina clau per optimitzar els seus negocis, però això planteja serioses preocupacions sobre la privadesa dels usuaris. Plataformes com X (abans Twitter), Meta (Facebook, Instagram i WhatsApp) i Google estan integrant IA als seus serveis, recopilant dades personals i públiques per entrenar els seus models.
La darrera incorporació és el xatbot Grok de X, que utilitza publicacions públiques i dades dels usuaris per millorar-ne el funcionament. Meta ha introduït IA a les seves aplicacions, permetent interaccions avançades com respondre preguntes, editar fotos i fins i tot imitar veus famoses. Google Fotos, per la seva banda, fa servir IA per organitzar imatges i reconèixer patrons detallats.
Tot i això, aquestes pràctiques solen implementar-se sense un consentiment clar i explícit dels usuaris. Les empreses modifiquen els termes de servei i els usuaris els accepten sense ser plenament conscients de les implicacions. Això planteja dubtes sobre el consentiment informat i la invasió de la privadesa, especialment en un context on les lleis que regulen l'ús de la IA encara estan en desenvolupament.
La recopilació massiva de dades no només afecta la privadesa, sinó que també perpetua un model de negoci que utilitza informació personal com a matèria primera. Mentre que les empreses prometen xifrat d'extrem a extrem i altres mesures de seguretat, continua existint desconfiança sobre com s'utilitza aquesta informació per entrenar sistemes d'IA.
En aquest context, és essencial que els usuaris s'informin sobre les configuracions de privadesa disponibles, revisin els permisos atorgats i limitin la quantitat de dades compartides en aquestes plataformes. A mesura que les xarxes socials expandeixen l'ús d'IA, el debat sobre l'equilibri entre innovació tecnològica i drets de privadesa es torna cada cop més urgent.
La veritat és que no és fàcil per a l'usuari poder protegir la seva privadesa en utilitzar xarxes socials que implementen intel·ligència artificial. La teoria recomana revisar les configuracions de privadesa i ajustar qui pot veure les publicacions o desactivar permisos no necessaris, com l'accés a la vostra ubicació. Igualment, encara que és tediós, llegir els termes dús per entendre com es faran servir les seves dades és clau. Quanta gent ho fa? Al final, hom es conforma a evitar compartir informació sensible o publicar només el que és necessari, però resulta del tot insuficient davant d'aquests gegants del tractament de dades.
Almenys, no caiguem en la ignorància i tractem de conèixer com les plataformes gestionen la nostra privadesa per adaptar-nos mínimament.
Jordi Ventura
És una decisió tan raonable que sembla mentida que hagi trigat tant de temps en prendre’s. I de fet, no és majoritària.
Molt recentment, s’està estenent entre les escoles el fet d’adoptar una nova política a les seves xarxes socials: no publicar imatges dels alumnes on se'ls pugui identificar clarament. Tot i comptar amb els permisos necessaris per utilitzar les imatges dels nens i nenes, han pres la decisió de prioritzar la seva privacitat i garantir que la seva presència a internet no els afecti negativament en el futur. Aquesta tendència ha estat ben rebuda per molts pares i tutors, que comparteixen la preocupació per la seguretat i privacitat dels seus fills en un món cada cop més digitalitzat.
Fins ara, els drets d'imatge dels menors s'havien sol·licitat per a usos molt concrets, com ara l'elaboració de materials educatius o internament dins de l'escola. Però amb l'auge de les xarxes socials, aquest control s'ha difuminat i s'ha obert la porta a una difusió massiva d'imatges. La publicació d'aquestes imatges a Instagram, Facebook o altres plataformes no només augmenta la visibilitat dels alumnes, sinó que també els exposa a riscos que sovint no són considerats prou. Aquests riscos inclouen des de l'ús no autoritzat de les imatges per part de tercers, fins a la possibilitat que aquestes imatges quedin arxivades permanentment en bases de dades accessibles en el futur.
Per això, cal aplaudir aquesta nova política per a la protecció de la identitat digital dels menors. Quan publiquem imatges d'ells a les xarxes, estem contribuint a crear una petjada digital que podria influir en el seu futur. Un nen que apareix en una fotografia avui potser no voldrà que aquesta imatge estigui disponible quan sigui adult. A més, les escoles han d'entendre que el context educatiu ha de ser un espai segur i protegit, on els alumnes es puguin desenvolupar sense la pressió que implica estar constantment exposats a l'escrutini públic. No cal, allà també, fomentar aquesta sobreexposició en els menors. Tots hem d’entendre que en un món hiperconnectat, mantenir la pròpia privacitat és essencial per preservar la nostra seguretat.
És important recordar que les imatges dels menors són especialment sensibles i, per tant, han de ser gestionades amb una cura extrema. Garantir la privacitat dels nens i nenes a les xarxes socials és una responsabilitat compartida per escoles, famílies i la societat en general. Amb mesures com aquesta, estem contribuint a crear un entorn més segur i respectuós per a les futures generacions.
Jordi Ventura
Jordi Ventura
És un clàssic recurrent, però mai insistim prou. Durant les vacances, és comú que baixem la guàrdia pel que fa a la seguretat de les nostres dades personals. Tot i això, és crucial mantenir certs hàbits per protegir la nostra informació. Permeteu fer el típic llistat de recomanacions pràctiques per assegurar les nostres dades mentre gaudim dels merescuts dies lliures.
Comencem per les xarxes socials. Abans de publicar res, considera els riscos. Compartir detalls sobre la ubicació, dates de viatge o fins i tot fotos sense el consentiment de les persones involucrades pot posar en perill la nostra privadesa i la dels altres. És recomanable ajustar la configuració de privadesa per limitar qui pot veure la nostra informació i evitar publicar documents que revelin dades personals o codis de barres.
Atenció amb el “gratis”. Evita connectar-te a Wi-Fi públiques, les quals són un blanc fàcil per als ciberdelinqüents. Sempre que sigui possible, utilitza la teva xarxa de dades mòbil o connecta't a través d'una VPN, cosa que xifrarà la teva connexió i la farà més segura. Desactiva la connexió automàtica a xarxes Wi-Fi i Bluetooth per reduir el risc d'atacs.
No abaixem la guàrdia per canviar de rutina. Durant les vacances, augmenta el risc de rebre correus electrònics fraudulents que busquen robar la vostra informació personal. Desconfia dels correus electrònics que sol·licitin informació financera o personal i evita fer clic a enllaços sospitosos. És important estar alerta i verificar l'autenticitat dels missatges rebuts.
I com sempre, la prevenció com la millor defensa. Ser proactiu i curós amb la informació que compartim i els dispositius que utilitzem ens ajudarà a mantenir la nostra informació segura. Utilitza contrasenyes segures i canvia-les regularment. Verifica els teus comptes periòdicament per detectar accessos no autoritzats o activitats sospitoses. També, assegureu-vos que els dispositius estiguin protegits adequadament. Bloqueja la pantalla i utilitza contrasenyes fortes. A més, xifra els dispositius d'emmagatzematge extraïbles per protegir la informació sensible i evita desar contrasenyes en llocs no segurs; utilitza gestors de contrasenyes o emmagatzema-les en un mòbil protegit amb contrasenya o empremta dactilar.
Estigues informat sobre les millors pràctiques en seguretat digital i aplica aquests consells per gaudir d'unes vacances tranquil·les i segures.
La seguretat de les teves dades és responsabilitat de cada dia, no només quan ets a casa. Bones vacances!
Jordi Ventura
Recentment, l'empresa Meta, propietària de Facebook o Instagram, ha generat un enrenou significatiu entre els seus usuaris en anunciar que, a partir del 26 de juny, utilitzarà les dades dels seus perfils, fonamentalment fotos i textos, però també il·lustracions, dissenys, creacions musicals… per entrenar els seus models d'intel·ligència artificial (IA). Aquest anunci ha provocat un debat acalorat sobre els límits de l'ús de dades personals i la protecció de la privadesa.
El missatge ha estat clar: tota la informació que els usuaris han compartit amb la plataforma pot ser utilitzada per millorar els seus algorismes d'IA. La notícia ha estat rebuda amb sorpresa i preocupació per part dels usuaris, que veuen en aquesta mesura una invasió a la seva privadesa i un ús indegut de les seves dades personals.
Un dels punts més controvertits de la comunicació de Meta és la manera com els usuaris poden optar per no participar en aquest procés. Tot i que l'empresa ha ofert la possibilitat de negar-se, el camí per fer-ho és llarg i feixuc. Requereix que els usuaris completin diversos passos administratius, enviïn correus electrònics específics i esperin confirmacions que poden demorar setmanes. Aquest procés, deliberadament complex, desincentiva els usuaris a passar a l’acció, cosa que ha estat objecte de severes crítiques.
L'ús de dades personals per entrenar models d'IA és una pràctica cada cop més comuna a la indústria tecnològica. Les empreses argumenten que aquesta metodologia és essencial per al desenvolupament de sistemes més eficients i precisos, que poden oferir serveis millorats i personalitzats. No obstant això, aquest progrés no hauria de ser a costa dels drets individuals de privadesa.
Tot i que l'avenç de la tecnologia és vital per al progrés, això no justifica pràctiques que violin els drets i la confiança dels usuaris. Les dades personals són valuoses i sensibles, i han de ser gestionades amb la màxima transparència i respecte per part de les empreses.
En lloc de facilitar un mètode senzill i directe perquè els usuaris puguin exercir els seus drets, l'empresa ha optat per un enfocament que sembla dissenyat per descoratjar qualsevol objecció.
Aquest tipus de tàctiques erosiona la confiança en una empresa. Les organitzacions han de ser responsables i facilitar als usuaris el control sobre les seves dades. Implementar processos transparents i accessibles no és només ètic, sinó que també reforça la confiança del consumidor i millora la reputació de l'empresa.
Si bé és comprensible que les empreses tecnològiques necessitin dades per millorar els seus serveis, això no s'ha de fer a costa de la privadesa i els drets dels usuaris. És essencial trobar un equilibri que permeti l'avenç tecnològic sense sacrificar els principis bàsics de privadesa i consentiment informat.
Prenguem el cas com una crida d'atenció per a totes les empreses que manegen grans quantitats de dades personals. La transparència, la facilitat d'accés i l'opció d'exclusió real han de ser pilars fonamentals en la política de dades de qualsevol organització. Només així es pot avançar cap a un futur en què la tecnologia i els drets individuals coexisteixin de manera harmònica i respectuosa.
Jordi Ventura
Així es pot veure en el detall que publica l'APDCAT, que ha investigat i instruït 443 casos aquest any, dels quals 293 han estat denúncies per incompliment de la normativa i 150 reclamacions per vulneració de drets. Això representa un augment del 40% en comparació amb el 2022. L’altra lectura, és clar, és que al marge que les persones siguin més coneixedores de com protegir la seva privadesa, algú a l’altra banda no està fent del tot bé la seva feina. El tractament de dades és una responsabilitat que hom no pot prendre’s a la lleugera.
I com diem, ja no és només per la satisfacció de fer les coses com cal. És que també pot implicar problemes més seriosos. Sí, les sancions. Pel que fa als procediments sancionadors, l'APDCAT ha iniciat 293 actuacions d’investigació prèvia durant el 2023. D’aquestes, 87 han culminat en resolucions, que inclouen amonestacions, sancions econòmiques i sobreseïments. Si ens fixem en les infraccions, els temes més recurrents tenen a veure amb els àmbits de la salut, la prestació de serveis a la ciutadania, els recursos humans i l’exercici de competències administratives.
La informació, la pedagogia, és fonamental en tot aquest entorn, per això crida l’atenció que havent superat les 2.000 consultes al servei d’atenció al públic de l’Autoritat Catalana de Protecció de Dades, més de 80% siguin qüestions plantejades per ciutadans individuals. És senyal que hi ha inquietud al voltant dels drets i deures derivats del Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD), així com per l'accés i la cessió d'informació que conté dades personals.
Una última dada a destacar. De quins temes pregunten a l’APDCAT els professionals de la protecció de dades que necessiten ajuda tècnica? Res del tot inesperat: videovigilància, la designació i comunicació del delegat de protecció de dades, l’elaboració i gestió del registre de les activitats de tractament, la revisió de clàusules informatives, el deure d’informació, la legalitat del tractament de dades (incloent-hi el consentiment), i el tractament i publicació d’imatges. N’hem parlat de tot plegat.
Jordi Ventura
Tanmateix, posats a ensenyar les cartes, ja que no podem guardar l’as per al final, que pot ser molt diversa, podem posar el focus en primera instància en un dels conceptes més rellevants del Reglament General de Protecció de Dades (RGPD), la minimització.
Només el necessari i que estigui justificat. El principi de la minimització del tractament de dades personals és crucial en la salvaguarda de la privadesa dels ciutadans europeus en l'era digital, i tot i ser essencial, sovint és oblidat o ignorat per moltes empreses. No obstant això, assumir la minimització de dades no només és una obligació legal, sinó també una pràctica empresarial responsable que pot generar confiança i millorar les relacions amb els clients.
La minimització de dades implica recopilar, processar i emmagatzemar només la informació personal estrictament necessària per a una finalitat específica. Cal tenir-ho present sempre, sigui quina sigui l'activitat empresarial, perquè serà estrany no haver de prendre una decisió en aquesta línia en molts moments de tota mena d’empreses, institucions o associacions.
Sense anar més lluny, els típics formularis de registre de clients, que inclouen noms, adreces o números de telèfon, han de garantir que aquesta informació sigui necessària per al servei o producte que ofereixen. Una llibreria en línia pot necessitar aquestes dades obligatòriament per servir una comanda, però el gènere, l’edat, les preferències del seu oci o l’estat civil, informació no essencial per a la transacció, és millor evitar-la.
Potser n’heu sentit a parlar recentment del cas de les fotocòpies dels DNI per a segons quins tràmits, arran d’una publicació al respecte de l’Agència Espanyola de Protecció de Dades, o de l’escaneig de les empremtes digitals per accedir a les oficines o gimnasos.
Per garantir el compliment del principi de minimització de dades, podem tenir presents diverses bones pràctiques que han de començar per una revisió exhaustiva de tots els processos de recopilació, emmagatzematge i processament de dades per identificar i eliminar informació no necessària. I com minimitzar no vol dir que siguin poques, perquè a vegades les dades necessàries poden ser moltes i, fins i tot, sensibles, el següent és assegurar la implementació de controls d'accés per garantir que només el personal autoritzat tingui accés a totes aquelles dades personals. Si a més, aconseguim cert nivell d'anonimització i pseudonimització per protegir les dades, ja tindrem un pas de gegant assolit. Sobretot, pensant que complir amb el principi de minimització de dades no només és un requisit legal, sinó també una pràctica ètica i responsable i això, avui, té un valor també.
Jordi Ventura
Windat està format per un equip interdisciplinat orientat a donar el millor servei a professionals, pimes i grans empreses. Estem especialitzats en protecció de dades, però com que aquesta esfera és tan transversal, podem aportar valor en àmbits molt diversos dins les empreses i que pivoten al voltant de la privacitat, la seguretat i la gestió de la informació.