protecciódedades

Igualtat i no discriminació LGTBI a les empreses

Des del passat 2 de març de 2024, les empreses amb més de 50 treballadors han de disposar d’un protocol d’actuació per abordar situacions d’assetjament o violència dirigides a persones LGTBI, així com ajustar els Plans d’Igualtat en conseqüència.

La Llei 4/2023, de 28 de febrer, per a la igualtat real i efectiva de les persones trans i per a la garantia dels drets de les persones LGTBI va introduir disposicions específiques destinades a fomentar la igualtat i preveure la discriminació contra el col·lectiu LGTBI en l’àmbit  laboral, amb l’objectiu d’erradicar les situacions de discriminació, per assegurar que a Espanya es pugui viure l’orientació sexual, identitat sexual, expressió de gènere, les característiques sexuals i la diversitat familiar amb plena llibertat. (more…)

Facebooktwittergoogle_pluslinkedinmail

Nou reglament europeu sobre intel·ligència artificial (IA)

Després de dures negociacions, el Parlament europeu ha aprovat finalment aquest passat dia 13 de març amb aclaparadora majoria un Reglament europeu sobre intel·ligència artificial (IA), el qual pretén ser un marc de regulació referent amb vocació internacional. Pendent encara de diversos tràmits, es preveu que entri en aplicació al cap de dos anys a partir de la seva pròxima publicació.

Entre altres qüestions, el Reglament prohibeix i regula un seguit de conductes que es podrien dur a terme mitjançant una IA, preveu un règim sancionador específic i conté també la previsió de la creació d’una agència de supervisió a cadascun dels Estats membres. En el cas de l’Estat espanyol, però, ja s’ha creat l’Agència Espanyola de Supervisió de la IA.

A partir de l’entrada en aplicació d’aquest Reglament, molts dispositius de vigilància biomètrica només es podran fer servir de forma temporal i en casos específics sota autorització judicial i supervisió de l’autoritat de protecció de dades.

Algunes de les conductes que el nou Reglament prohibeix de manera general i que podria dur a terme una IA són les següents:

  • Categorització biomètrica de persones.
  • Captura indiscriminada d’imatges facials d’internet.
  • Gravació amb càmeres de videovigilància que permeti crear bases de dades de reconeixement facial.
  • Reconeixement d’emocions al lloc de treball o a les escoles.
  • Establir sistemes de puntuació ciutadana.
  • Actuació policial prospectiva.
  • IA que manipuli el comportament humà o exploti vulnerabilitats de persones.

Totes aquestes conductes que es plantegen prohibir no són evidentment supòsits de ciència-ficció en una societat futura i distòpica, sinó que són possibilitats reals que la tecnologia de la IA ja permet actualment. En qualsevol cas, tal com comentàvem anteriorment, encara haurem d’esperar com a mínim dos anys a què el Reglament entri en aplicació. Com sempre la tecnologia corre més que el legislador, i en dos anys encara poden passar moltes coses; en qualsevol cas, el Reglament sobre la IA és una bona notícia d’abast internacional.

Facebooktwittergoogle_pluslinkedinmail

Acció europea coordinada sobre de designació i posició de delegats/des de protecció de dades 

En la sessió plenària de 16 de gener el Comitè Europeu de Protecció de Dades (CEPD) va adoptar l’informe amb les conclusions de la segona acció coordinada a nivell europeu centrada en la designació i la posició de delegats i delegades de protecció de dades (DPO).

Aquest informe és fruit del treball efectuat durant el 2023 per les 25 autoritats de control de protecció de dades de l’Espai Econòmic Europeu, incloent el Supervisor Europeu de Protecció de Dades (SEPD). En aquest s’hi il·lustra quins són a dia d’avui els principals obstacles de la figura del DPO, i també s’hi esmenten algunes recomanacions per a reforçar el seu status. L’informe ha estat publicat juntament amb els 2 apèndix: un estadístic, i l’altre, amb l’anàlisi i observacions fetes a nivell nacional per part de cada autoritat participant.

Els punts d’atenció que es destaquen en l’informe són:

  • Absència de designació de DPO, inclús en aquells casos en els quals és obligatori.
  • Insuficiència de recursos del DPO.
  • Manca d’expertesa i experiència del DPO.
  • No tenir confiades en el DPO total o explícitament les tasques definides en el RGPD.
  • Situacions de conflicte d’interès o de manca d’independència del DPO.
  • Absència de reporting del DPO al més alt nivell de l’entitat.
  • Sol·licitud d’orientació addicional per part de les autoritats de control per a tenir major seguretat i eficiència en les actuacions.

Tot i la coincidència en aspectes generals, són de gran interès les apreciacions particulars que descriuen les diverses autoritats de control a cada país. Se’n destaquen les 3 següents:

  • L’Agència Espanyola de Protecció de Dades alerta de l’externalització de DPO. En concret, s’informa que en molts casos, aquesta pràctica pot mostrar debilitat des del punt de vista que sigui un mateix DPO el que pugui desenvolupar plenament la seva intervenció en vàries organitzacions. Això pot també incrementar el risc de què la figura del DPO sigui considerada una mera formalitat en comptes de què el DPO tingui una implicació real i proactiva en els tractaments de dades efectuats per les organitzacions.
  • L’autoritat francesa adverteix que sovint els DPOs no tenen prou informació sobre certs tractaments de dades de l’entitat perquè no se’ls fa participar des de moments inicials en la presa de decisions estratègiques.
  • L’autoritat portuguesa descriu funcions que de forma equivocada s’associen al DPO quan en realitat són obligacions pròpies del responsable del tractament o encarregat del tractament. En aquest sentit també es detecten tasques que de forma equivocada s’encomanen al DPO quan no són la seva funció, per exemple, en el cas de les avaluacions d’impacte que acaben duent a terme directament, malgrat que la seva funció sigui d’assessorar.

Després de més de 5 anys de plena aplicació del RGPD i amb aquest, de la figura del DPO, es constata que s’han fet avenços però que queda molt trajecte encara per recórrer. És per això que és necessari tenir presents les irregularitats detectades i adequar-les a les indicacions donades, més encara quan en aquests moments hi ha nombrosa normativa del sector digital que està essent desenvolupada o just aprovada i davant de la qual el DPO hi tindrà un rol significatiu. Aquests nous rols poden reforçar algunes de les preocupacions detectades en l’informe, en especial les relatives al conflicte d’interès o la insuficiència de recursos del DPO.

Per a més informació:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

 

 

 

 

Facebooktwittergoogle_pluslinkedinmail

Noves directrius sobre l’ús de les cookies

Avui en dia, les cookies són una eina essencial de la societat de la informació, ja que permeten als prestadors de serveis obtenir dades dels usuaris i emprar-les amb diferents finalitats, com pot ser, per exemple, per prestar-li un servei en concret o facilitar-li publicitat ajustada als seus gustos i costums de navegació.

Donada l’afectació de les cookies en la privacitat de les persones, resulta ineludible la implementació d’un sistema d’informació que permeti als usuaris ser plenament coneixedors dels usos que es donarà a les seves dades i decidir sobre els mateixos, mitjançant l’atorgament del seu consentiment.

Per tal de garantir aquests paràmetres, el passat mes de febrer de 2023, el Comitè Europeu de Protecció de Dades (CEPD), va emetre les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials. I, per tal d’ajudar als prestadors de serveis a seguir les indicacions de les citades directrius, l’Agència Espanyola de Protecció de Dades va actualitzar la seva Guia sobre l’ús de les cookies. Aquests nous criteris han d’implementar-se abans de l’11 de gener de 2024.

La guia inclou un conjunt de recomanacions que resultaran d’aplicació en aquells casos en què la utilització de les cookies impliqui el tractament de dades personals. I, per tant, els responsables del tractament hauran d’assegurar-se de complir tant amb les exigències pròpies que regula la LSSI, així com també la normativa vigent en matèria de protecció de dades.

Un dels primers aspectes al que fa referència la guia, és a la necessitat d’identificar quines són les cookies emprades al lloc web i quina és la seva finalitat. Es tracta d’un pas essencial per tal de poder complir amb les principals obligacions de les cookies, que són l’obligació de transparència i l’obligació d’obtenció del consentiment.

També caldrà tenir present que aquestes obligacions no aplicaran a totes les cookies, sinó que algunes queden exceptuades. Per exemple, en el cas de les cookies de personalització, quan el propi usuari pren decisions sobre elles com pot ser l’opció de l’idioma, són cookies tècniques que no precisen consentiment, sense que puguin ser utilitzades per a altres finalitats.

Quan parlem de l’obligació de transparència, estem fent referència a la necessitat d’informar als usuaris de forma clara i complera sobre l’ús de les seves dades. És per això que caldrà informar sobre quina és la funció genèrica de les cookies, quin tipus de cookies es recullen i quina és la seva finalitat, qui les utilitza, com s’ha d’acceptar, denegar o revocar el consentiment per l’ús de les cookies, com es transferiran a tercers països, si implica l’elaboració de perfils, el període de conservació i la resta d’informació relativa al tractament de dades que ens determina l’article 13 del RGPD, com per exemple l’exercici de drets dels interessats.

No únicament és important la informació que s’ha de traslladar a l’usuari, sinó que cal prestar especial atenció també a com es facilita. És per això que cal assegurar-se que la informació sigui concisa, transparent i intel·ligible, mitjançant l’ús d’un llenguatge clar i senzill que pugi ser entès per l’usuari.

Altre aspecte a tenir en compte és la forma d’accés a la informació, ja que ha de ser clarament visible per l’usuari sense que impliqui un esforç per ell. Amb l’objectiu d’evitar la fatiga informativa, es pot oferir la informació mitjançant capes. De manera que, des de la primera capa informativa es pugui accedir a un enllaç o es pugui accedir a la informació completa de les cookies.

Tota aquesta informació ha de ser facilitada per tal que l’usuari atorgui el seu consentiment sent plenament coneixedor sobre com s’utilitzaran les seves dades personals.

Per l’obtenció del consentiment caldrà tindre present que es dugui a terme mitjançant fórmules que impliquin una inequívoca acció afirmativa per part de l’usuari. De manera que caldrà presentar-li les accions d’acceptar o rebutjar les cookies en lloc i format destacats, fàcilment visibles.

Un altre aspecte rellevant és que l’accés al servei web i a les seves funcionalitats, no podran condicionar-se a què l’usuari consenti l’ús de cookies. Podent-se presentar situacions en les quals la no acceptació de la utilització de cookies pot impedir l’accés al lloc web o a la utilització total o parcial del servei, sempre que s’informi a l’usuari i s’ofereixi per part de l’editor una alternativa d’accés al servei sense necessitat d’acceptar l’ús de cookies, la qual no ha de ser necessàriament gratuïta.

Es tracta d’un conjunt de directrius que permeten ajudar a traslladar la informació sobre l’ús de les cookies als usuaris, però fugin de l’estandardització de textos, ja que ha de ser plenament adequat a les característiques particulars de cada pàgina web. I, d’acord amb tot l’anterior, hauran de ser revistes els textos web.

Es pot consultar el text complet de l’informe del Guia sobre l’ús de les cookies de l’Agència Espanyola de Protecció de Dades al següent enllaç: https://www.aepd.es/guias/guia-cookies.pdf

I, les Directrius 03/2023 sobre patrons enganyosos a les xarxes socials, del Comitè Europeu de Protecció de dades (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

Facebooktwittergoogle_pluslinkedinmail

Un pla d’igualtat no negociat també pot ser vàlid

L’obligació que afecta la gran majoria de les empreses d’elaborar un pla d’igualtat de forma negociada amb la representació legal dels treballadors, tal com hem anat veient, no és tan fàcil de complir. La normativa ens diu que, si l’empresa no té representació legal dels treballadors, cal demanar als sindicats més representatius que es presentin a la negociació: ¿què passa, però, si aquests sindicats, tot i haver-los enviat diferents requeriments per Email, no contesten o contesten dient que no poden o no volen participar en aquesta negociació? No es tracta d’una qüestió menor, ja que, d’entrada, si un pla no ha estat formalment negociat, el registre en denega la inscripció, la qual cosa, deixa l’empresa en una situació d’incompliment legal i d’indefensió, sense habilitació per a participar en concursos públics i amb les pèrdues econòmiques que això pugui suposar. (more…)

Facebooktwittergoogle_pluslinkedinmail

Irregularitats en el procés de relleu a l’Agència Espanyola de Protecció de Dades

A la Newsletter d’octubre informàvem de l’acord al que havien arribat PSOE i PP en la renovació de la direcció de l’Agència Espanyola de Protecció de Dades. Aquest pacte polític està essent controvertit perquè no sembla ajustar-se amb el procediment per  al nomenament  de la direcció d’aquesta entitat. En efecte, fa dos anys que es va reformar el procediment de designació amb voluntat de ser un procediment obert i de lliure concurrència. (more…)

Facebooktwittergoogle_pluslinkedinmail

Com queda la protecció de dades al Regne Unit després del Brexit?

Que un país com Regne Unit surti de la Unió Europea implica, d’entrada, que deixin d’aplicar-s’hi les normes jurídiques europees que s’hi estaven aplicant. Entre elles, recordem que el Reglament General de Protecció de Dades (RGPD) és un una norma jurídica directament aplicable als Estats membres, que a més ostenta un caràcter jeràrquicament superior a les legislacions estatals. Ens trobem, doncs, amb la situació paradoxal que un país que tenia totes les garanties per a transferir-hi dades de caràcter personal, de cop i volta pot ser considerat un país insegur degut a un canvi sobtat de la seva situació jurídica respecte a la Unió Europea, i això té implicacions extraordinàries pel que fa a les empreses o organitzacions europees que tenen relació amb aquest país. (more…)

Facebooktwittergoogle_pluslinkedinmail

III edició del Digital Law World Congress

Els proppassats dies 22 i 23 d’octubre va tenir lloc la III edició del Digital Law World Congress amb el lema «Digital rights:  a new evolution of Human Rights» coincidint amb la celebració, el 24 d’octubre, del 75è aniversari de la creació de Nacions Unides. 

La nostra gerent de Serveis Jurídics, Caterina Bartrons, va participar en una de les meses com a relatora.

El desenvolupament d’Internet i la societat digital ha canviat la forma en què ens relacionem, ens comuniquem i realitzem les nostres activitats socials, laborals i econòmiques, constituint una autèntica revolució i una font inesgotable d’oportunitats de progrés.

No obstant, també ha comportat determinats riscos, que suposen un repte per a la seguretat, la privacitat i la confiança en el món digital, i que han de ser afrontats a través de mesures que garanteixin els drets i llibertats de tota la ciutadania.

EL CONGRÉS

Facebooktwittergoogle_pluslinkedinmail

La governança de les dades

Les dades s’han convertit en un actiu empresarial clau per a qualsevol empresa, aquesta afirmació és una realitat indiscutible. Les organitzacions disposen d’una voluminosa quantitat de dades personals d’usuaris, de clients, de proveïdors, de treballadors, i un gran etcètera, que un cop processades i explotades generen un gran valor a l’empresa, però perquè aquestes dades tinguin valor real cal assegurar la qualitat de les dades, així com la seva seguretat i privacitat. Cal ser conscients que l’ús inadequat de les dades pot ocasionar greus danys financers i reputacionals a l’Organització. Per tal de promoure una gestió efectiva és important disposar d’un procés de governança de les dades o data governance. (more…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies