BENVINGUTS A ATGROUP

Últimes Notícies

FLoC: LA FI DE LES COOKIES... EXCEPTE LES DE GOOGLE

Google està preparant el FLoc, una actualització del seu famós navegador Google Chrome en el qual no acceptaran les cookies de tercers

Recentment ha sortit publicat en els mitjans de comunicació que Google està preparant un canvi important en el seu famós navegador CHROME que consistirà en dos elements clau:

 Primer Només admetrà les cookies pròpies de Google i no les de tercers.
 Segon Les cookies de Google utilitzaran la tecnologia *FLoC que serviran per a filtrar als usuaris per cohorts o grups d'interessos comuns.

Sens dubte, pot semblar un avanç en la privacitat respecte a l'actual sistema on múltiples empreses desenvolupen les seves cookies (fitxers adjunts al navegador amb funcions diverses) i generen els seus propis perfils d'usuari en un sistema absolutament descentralitzat, just al contrari del que ens proposa Google, on el futur model estarà totalment controlat pel gegant d'Internet sense opció a la participació de tercers en la segmentació d'usuaris.

És evident que l'actual sistema de cookies pot comportar situacions no desitjades per l'usuari i per a evitar aquestes situacions l'AEPD ,(entenem nosaltres que amb molt bon criteri) ha exigit a tots els titulars de webs que l'usuari pugui triar quines cookies accepta o no abans de navegar en una web. D'aquesta manera, és l'usuari qui tria quin nivell de privacitat desitja en la navegació dins d'una web.

Amb el nou model que proposa Google no tindrà sentit aquesta configuració de cookies, ja que només seran acceptades aquelles que l'operador dominant hagi desenvolupat per a si mateix, i segurament l'usuari en entrar en una web només haurà d'atendre una pregunta binària, és a dir si accepto entrar en el sistema *FLoC o no.

El *Federated *Learning *of *Cohorts (*FLoC) de Google, consisteix a identificar a l'usuari segons els seus gustos i activitat de navegació dins d'un grup determinat o cohort, assignant una ANEU diferenciada segons interessos i perfils. D'aquesta manera no es té un individu sinó un grup amb interessos comuns amb la segmentació publicitària que pugui ser d'interès a cada moment per a anunciants i agències.

En aquest punt, veiem alguna llum i també alguna ombra, com a element positiu i interessant en la millora de la privacitat caldria destacar la no identificació de l'usuari final, és a dir, el sistema *FLoC no permet identificar d'un en un als usuaris com ocorre ara, només es permet saber a quins ANEU de cohort pertany, sense entrar en l'anonimat absolut, però difuminat dins d'un grup d'interès similar. Sens dubte, aquesta capa d'ocultació, si està ben realitzada pot ser una millora respecte a la privacitat.

Com a ombres, la veritat és que ens preocupa que només Google pugui fer cookies de Chrome, operador dominant amb més del 90% del mercat occidental, sens dubte és un monopoli que va més enllà de fronteres i estats, si bé és cert que l'atomització del mercat feia més dificultós el seu control i supervisió, no és menys cert que la capacitat de coerció de les Autoritats de Control europees és molt superior en aquests operadors tercers que a la qual poden exercir enfront dels monstres d'Internet com és Google.

La segona ombra, és l'alternativa que ens dóna Google amb el seu sistema *FLoC a la identificació personal de l'usuari, l'operador ens proposa classificar per grups (cohorts en llenguatge Google) als consumidors, de tal manera que cada usuari segons el seu comportament estaria segmentat i classificat segons el patró dissenyat per Google.

És evident que aquests patrons de conducta són de màxim interès per a Google, i no precisament pel seu ànim altruista, sinó per a comercialitzar amb ells a anunciants i publicistes amb la màxima eficàcia i sense competència, ja que només Google tindrà accés a aquests perfils.

En resum, que no és forassenyat pensar que amb l'excusa de millorar la privacitat del seu navegador, Google d'un sol moviment elimina la possibilitat que tercers extreguin informació comercial de la navegació al no acceptar cookies de tercers i a més imposa el sistema monopolístic exclusiu de la segmentació de potencials clients mitjançant les seves pròpies i úniques cookies admeses del sistema *FLoC…La veritat és que ens sembla una pràctica monopolística que pot perjudicar tant els usuaris com a la resta de petits desenvolupadors del món de la publicitat que veuen com han de canviar tots els seus patrons i inversió econòmica, com sempre a favor del monopoli.

És evident que totes les autoritats de control europees estan molt al punt dels rumbs que pot adoptar la qüestió, preocupa el seguiment en el temps d'usuaris, les evolucions de consum, la veritable anonimització de les cohorts del sistema *FLoC, el tractament de dades d'especial protecció, entre altres elements.

En tot cas, als usuaris ens fa la sensació de la lluita de David contra *Goliat, intentar controlar mitjançant procediments administratius als gegants d'Internet, no és una tasca fàcil per a cap autoritat de control europea ni pot tenir un resultat òptim si no hi ha altres mesures complementàries que fomentin la competència i estimulin el compliment normatiu.

Per a concloure, ens agradaria tornar a plantejar un desig, ara amb més sentit que mai, la Unió Europea, ha de fer un pas al capdavant en la seva política de Digital, és clar que existeix una política comuna de fronteres, financera, de mercaderies i fins i tot de Relacions Exteriors, però trobem a faltar el foment de polítiques d'independència digital similars a les que va emprendre la Xina en el seu moment amb *BAIDO, *ALIBABA, *TACENT i *XAOMI, i fins i tot Rússia amb *YANDEX, sens dubte alternatives necessàries i exemples a seguir si pretenem tenir una certa independència digital europea.

Veurem en uns mesos per on evoluciona el *FLoC, estarem a l'espera i us tindrem informats.

Una salutació.

8 d'abril del 2021

LA MILLOR MANERA D'EVITAR UNA SANCIÓ DE L'AEPD: CONTESTAR CORRECTAMENT AL TRASLLAT DE LA DENÚNCIA

EL MECANISME PREVI D'ADMISSIÓ A TRÀMIT DE RECLAMACIONS DAVANT L'AEPD QUE CONSISTEIX A DONAR TRASLLAT Al DENUNCIAT.

La veritat és que el mecanisme previ que estableix l'article 65.4 de la *LOPDGDD és una eina poc coneguda per tots.

Es tracta d'un procés pel qual l'Autoritat de Control competent en matèria de protecció de dades, quan rep una denúncia d'un afectat per una possible vulneració de la *LOPDGDD, procedeix a donar trasllat a la part denunciada perquè manifesti el que cregui oportú en el seu descàrrec sobre la base dels fets exposats en la denúncia.

Amb la resposta del denunciat l'autoritat de control decidirà amb millor criteri si s'obre un altre procediment administratiu o per contra es procedeix a l'arxivament de la denúncia.

És important destacar que històricament el nombre d'expedients sancionadors oberts sobre la base d'una denúncia és molt superior als oberts d'ofici, i que en cas d'infracció del *RGPD l'Autoritat de Control no pot eludir la seva responsabilitat i haurà d'actuar , independentment que l'interès del denunciant sigui honest o no a l'hora de presentar la denúncia.

En molts casos la rebuda d'aquesta comunicació de trasllat de la denúncia per part de l'AEPD és la primera notícia que té el denunciat que hi ha un problema en matèria de protecció de dades i que ha estat denunciat per algú davant l'Autoritat de Control competent.

En tot cas, des de *ATGROUP la nostra recomanació passa per aprofitar aquesta primera oportunitat d'explicar , documentar i perquè no dir-ho ajudar a l'Autoritat de Control en la seva tasca d'esclariment dels fets, aportant les proves i evidències necessàries per a eliminar o minimitzar la presumpta vulneració denunciada.

Recordem que el principi de responsabilitat proactiva (art. 5. *RGPD) obliga al responsable de tractament al fidel compliment del *RGPD i la *LOPDGDD i també a poder demostrar aquest compliment en tot moment.

Finalment, no ens cansarem de recomanar la intervenció del Delegat de Protecció de Dades de l'organització en tota la gestió de donar resposta al trasllat de l'AEPD, sent el *DPD l'interlocutor natural amb l'autoritat de control i el professional qualificat per a assessorar i coordinar tot el procés de resposta a les denúncies interposades (art. 37 *RGPD).

Us continuarem informant.

Una salutació.

31 d'març del 2021

L'AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES SANCIONA AMB 8 MILIONS D'EUROS A VODAFONE

L'Agència Espanyola de Protecció de Dades (AEPD) ha imposat a l'empresa Vodafone Espanya diverses sancions que sumen més de vuit milions d'euros per incomplir diversos articles de la legislació espanyola, i es converteix així en la multa més alta que ha imposat aquest organisme.

L'empresa Vodafone Espanya, segons l'AEPD, ha incomplit no sols la Llei de Protecció de Dades Personals i Garanties dels Drets Digitals, també la Llei General de Telecomunicacions i la Llei de Serveis de la Societat de la Informació i de comerç electrònic.

En la resolució, a la qual ha tingut accés EFE, s'assenyala que des del segon trimestre de l'any 2018 l'AEPD ha rebut gairebé dues-centes reclamacions contra l'empresa.

La majoria de les reclamacions contra Vodafone Espanya denuncien la realització d'accions de màrqueting i de prospecció comercial a través de trucades telefòniques i mitjançant l'enviament de comunicacions comercials electròniques, tant de correus com de missatges SMS, accions que segons l'Agència vulneren la legalitat.

Aquestes comunicacions no han estat sol·licitades o expressament autoritzades per les persones que les han rebut, que no han pogut exercir el dret a oposar-se; o s'han dirigit a persones que havien demanat la seva inclusió en la "llista Robinson" (un directori al qual s'adscriuen els qui no volen rebre publicitat); i no s'adequaven tampoc als procediments i garanties establertes per a realitzar aquestes accions de màrqueting.

L'Agència Espanyola de Protecció de Dades imposa a l'empresa una sanció de 4 milions d'euros per incomplir l'article 28 del Reglament General de Protecció de Dades; i 2 milions per incomplir l'article 44 del mateix reglament. Imposa a més una sanció de 150.000 euros per incomplir l'article 21 de la Llei de Serveis de la Societat de la Informació i de comerç electrònic; i altres dos milions per incomplir la Llei General de Telecomunicacions.

I concedeix a l'empresa Vodafone Espanya un termini de sis mesos per a acreditar davant l'Agència Espanyola de Protecció de Dades que ha ajustat a la legalitat totes les operacions que han estat motiu de recerca i de sanció.

L'empresa assegura que no està d'acord amb els incompliments que els imputa l'Agència, considera que la quantia de la sanció proposada és desproporcionada i subratlla que la companyia tracta "amb les màximes garanties de confidencialitat i privacitat les dades dels seus clients" i ha comunicat la seva intenció de recórrer la sanció davant la mateixa Agència i ha deixat oberta la possibilitat de portar el cas a l'Audiència Nacional.

25 d'març del 2021

L'AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES OBRE UNA RECERCA A l'EMT SOBRE LA BRETXA DE SEGURETAT EN EL FRAU DE 4 MILIONS D'EUROS

L'AEPD ha obert una recerca per possible bretxa de seguretat en l'Empresa Municipal de Transport de València

L'Agència Espanyola de Protecció de Dades ha estimat el recurs presentat l'1 de juny pel regidor del PP Carlos Mundina. Aquest recurs també investigarà l'incompliment de la normativa de protecció de dades de l'EMT.

Des del partit polític afirmen apreciar molt positivament l'obertura d'aquesta investigació de la bretxa de seguretat a l'EMT per evitar estafes com la que es va produir fa un mes i que va implicar el robatori de 4 milions d'euros. Els 'populars' adverteixen en la seva reclamació d'un nivell molt baix de ciberseguretat en l'EMT, així com la manca de protocols en la gestió. La consultora Ernst and Young esmenta que "l'EMT encara no s'adapta a les obligacions legals del Reglament General de Protecció de Dades".

Així mateix, el Delegat de Protecció de Dades de l'EMT recull un comunicat sobre una possible bretxa de seguretat en la banca electrònica de CaixaBank en relació amb la possible suplantació d'identitat en accedir als comptes bancaris de l'EMT en aquesta entitat.

Membres d'altres partits polítics van esmentar els principals problemes de ciberseguretat quan es va produir el frau dels 4 milions d'euros i que va ser certificat per diversos estats importants. A més, van afirmar que el fet que hi hagués problemes de ciberseguretat a l'EMT es va aclarir molt prematurament, ja que hi va haver notificacions de l'AEPD quan es va tancar la comissió.

11 d'març del 2021

LA UE SANCIONA A ESPANYA AMB 15 MILIONS D'EUROS PER NO INCORPORAR A TEMPS UNA NORMA DE PROTECCIÓ DE DADES PERSONALS

El Tribunal de Justícia de la Unió Europea (TJUE) ha condemnat aquest dijous a Espanya a pagar una multa de 15 milions d'euros per no haver incorporat a la seva legislació nacional la directiva sobre protecció de dades en l'àmbit penal.

El juliol de 2018, la Comissió Europea va obrir un procediment d'infracció contra Espanya per no haver aprovat la directiva de protecció de dades personals en el marc de la prevenció i detecció d'infraccions penals. Aquesta directiva havia d'haver estat adoptada pels estats membres abans del 6 de maig de 2018, després d'un any de disputes, la Comissió Europea va sol·licitar al Tribunal de Justícia Europeu que imposés a Espanya una sanció el juliol de 2019.

La sentència donada el dia 25 de febrer de 2021, ha dictaminat a favor de la Comissió Europea i Espanya haurà de pagar 15 milions d'euros a més de pagar una quantitat diària de 89.000 euros si l'incompliment encara persisteix.

La directiva esmentada implanta unes normes per al tractament de dades personals per part d'autoritats policials i judicials per a poder facilitar l'intercanvi d'informació amb finalitats de prevenció, recerca, detecció i execució de sancions penals. La mesura garanteix que les dades relacionades amb els casos com per exemple les víctimes, testimonis, sospitosos i els mateixos autors dels delictes, estiguin degudament protegits en la recerca penal.

La finalitat de la mesura no és una altra que facilitar la cooperació entre els estats membres per a lluitar més eficaçment contra la delinqüència i terrorisme en el territori Europeu. Aquestes normes de la UE contribueixen a la plena realització d'un espai de llibertat, seguretat i justícia.

Arguments d'Espanya davant l'acusació

Espanya no va negar haver incomplert les seves obligacions d'adoptar i comunicar les mesures de transposició de la Directiva, però, va argumentar que pel fet que les circumstàncies institucionals eren molt excepcionals, les activitats del govern i del parlament s'havien retardat. Recordem que hi havia un govern en funcions i unes eleccions molt a la vora.

Resultat de la sentència

En la sentència d'aquest dijous, el TJUE desestima els arguments d'Espanya i declara l'incompliment de les seves obligacions. De fet, en la data de la terminació de la fase escrita a Luxemburg, el 6 de maig de 2020, el Govern de Sánchez encara no havia adoptat ni comunicat les mesures de transposició de la directiva.
Per això, els jutges europeus consideren que la multa constitueix un mitjà apropiat per a garantir que Espanya posi fi, al més aviat possible, a l'incompliment de la norma i considera que la multa és una mesura dissuasiva per a evitar la repetició futura d'infraccions anàlogues que afectin la plena efectivitat del Dret de la UE.

4 d'març del 2021

QUÈ CAL TENIR DAVANT UN REQUERIMENT DE L'AEPD PER QUÈ TENIM VÍDEO CÀMERES?

L'AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES POT DEMANAR-NOS EN QUALSEVOL MOMENT LA SITUACIÓ LEGAL I TÈCNICA D'UNA INSTAL·LACIÓ DE CCTV, QUINS DOCUMENTS ENS DEMANARAN?

La instal·lació de càmeres de vídeo o Circuits Tancats de Televisió (CCTV) són sens dubte alguns elements que poden posar en perill la intimitat i la privacitat de les persones afectades, ja siguin treballadors, clients, i fins i tot vianants.
Per a protegir els ciutadans de l'abús i possibles intromissions il·legítimes, la normativa en matèria de privacitat exigeix una sèrie de requisits legals i tècnics per a tenir un CCTV legal i ajustat a Dret. La normativa requereix el compliment de principis com el de proporcionalitat, seguretat, interès legítim, informació a l'afectat entre altres.
En tot cas, amb la finalitat de facilitar la gestió d'un possible requeriment de l'AEPD o una altra autoritat de control (p.e ACPD, AVPD) recomanem que sempre es tingui a mà i actualitzada la següent documentació acreditativa:

Document d'informació als potencials treballadors afectats , amb especial atenció a la gestió dels possibles exercicis de drets i la correcta identificació de la finalitat del tractament (p.e. seguretat, identificació, control d'accés, protecció de béns i persones, uns altres)

Fotografies de pla de detall, i general de la ubicació dels cartells d'advertiment del CCTV en tots els accessos, (és important que el text sigui el correcte, ja que en moltes ocasions hem vist aquest cartell sense text o amb un text genèric que no compleix els articles 7, 8 i 9 respecte al deure d'informació del RGPD). També convé destacar que la ubicació de les cambres no pot afectar la intimitat dels treballadors, usuaris o afectats, per tant, no es poden situar enfocant a lavabos, sales sindicals, vestuaris, etc.

En el cas que la gestió de la imatges i visualització la realitzi un tercer, s'haurà de tenir subscrit el corresponent contracte d'encarregat de tractament amb tot el que s'estableix en l'article 28.3 del RGPD.

Evidències de les capacitats tècniques dels dispositius de captació i tractament d'imatges. Cal tenir present que els dispositius poden tenir funcionalitats que afectin l'avaluació del risc respecte a la privacitat, com són l'ús de cambres giratòries amb zoom incorporat (dom) o les càmeres gestionades mitjançant IP amb connexió a Internet. És molt important que tot el sistema de CCTV implantat pugui complir i compleixi amb els requisits tècnics de seguretat que estableix la normativa, per a qualsevol dubte, l'AEPD té una guia específica de gestió de CCTV de gran interès.

Pla d'ubicació de càmeres i abast de visió . Es tracta d'un document gràfic on es pugui determinar els angles de cada dispositiu, adjuntant una “captura de pantalla” de cada pla de visualització. En tot cas convé recordar les limitacions de l'ús de la imatge, especialment les que puguin afectar via pública o recintes privats aliens.

Registre d'Activitats de Tractament , (RAT) on s'inclogui l'anàlisi dels tractaments realitzats en el CCTV.

Protocol de gestió d'imatges , on es verifiqui qui pot tenir accés, amb quins criteris, termini de conservació, sistema de còpia de seguretat, sistemes de gestió dels possibles exercicis de drets, seguretat del sistema, i tot això ajustat als principis de privacitat des del disseny i per defecte.
Actes de supervisió del sistema pel Delegat de Protecció de Dades en el seu cas. A aquesta llista feta per a fins divulgatius i només enunciativa, també es pot afegir l'informe que s'hagi realitzat de manera prèvia al tractament sobre la idoneïtat i proporcionalitat de la instal·lació (privacitat des del disseny), com pot ser el cas d'obligació legal (p.e. entitats bancàries) o per antecedents que posin en perill béns jurídics a protegir (p.e. robatoris, furts, zones de matèries perilloses o explosives, etc.) Per a més informació vegeu “ Guia sobre l'ús de càmeres de vídeo per a seguretat i altres finalitats ”, en www.aepd.es Davant qualsevol dubte o consulta, des de ATGROUP quedem a la vostra disposició.

28 d'febrer del 2021

LA BEUC DENÚNCIA A TIKTOK PER ENGANYAR MENORS I INFRINGIR LES LLEIS DE PROTECCIÓ DE DADES DE LA UE

L'Organització Europea de Consumidors (BEUC en francès) juntament amb altres 17 entitats de 15 països europeus demanen a la unió europea iniciar una recerca a la xarxa social TikTok per múltiples infraccions de la llei del consumidor de la UE.

La xarxa social de moda, TIKTOK, creada per la desenvolupadora xinesa ByteDance compta amb 800 milions d'usuaris actius a tot el món i és molt popular entre els nens i adolescents. En una nota de premsa de 4 punts, la BEUC acusa TikTok de violar els drets del consumidor a la UE.

La denúncia de la BEUC sosté que TikTok comet múltiples violacions dels drets del consumidor i no protegeix els nens de la publicitat oculta i del contingut inapropiat. En el comunicat detalla que els punts de “Termes de servei” de TikTok no són clars, sinó que són ambigus i desfavoreixen a l'usuari com per exemple que atorguen a TikTok el dret irrevocable d'usar, distribuir i reproduir els vídeos creats pels usuaris sense remuneració i lliurement.

Referent a la publicitat dins de l'aplicació, segons BEUC la publicitat està de manera oculta. Mitjançant trends, etiquetes o challenges creats per les marques de publicitat, els usuaris són motivats a participar incitant a comprar determinats productes sense que existeixi un filtratge, contribuint al màrqueting ocult i rebent una publicitat subliminar.

També assenyala que TikTok no està protegint els menors de contingut inapropiat, per exemple vídeos amb contingut suggeridor, de maltractament, reptes perillosos, com per exemple la menor italiana que va morir per imitar un repte que consistia en acte ofegar-se fins a perdre el coneixement.

Finalment manifesten que les pràctiques de TikTok per al processament de les dades personals són enganyoses, ja que no informen els seus usuaris sobre quines dades personals es recopilen, el seu propòsit i la raó legal.

La directora general de BEUC diu que: “Amb aquesta acció, BEUC i els seus membres volen que les autoritats iniciïn una recerca exhaustiva sobre les polítiques i pràctiques de TikTok i s'assegurin que TikTok respecta els drets dels consumidors de la UE.”

25 d'febrer del 2021