En aquesta entrevista a Lleida TV, Miquel Serrano, Delegat de Protecció de Dades d’ASS Plus, comparteix les últimes novetats que ha aplicat l’Agència Espanyola de Protecció de Dades.
Comencem amb Miquel Serrano, Delegat de Protecció de Dades d’ASS Plus, avui dedicarem part de la nostra entrevista a parlar de les últimes novetats en protecció de dades que ha publicat l’Agència Espanyola de Dades. Miquel, Benvingut i moltes gràcies, una vegada més, per acompanyar-nos.
Encantat de ser aquí.
Parlem d’aquests canvis que hi ha hagut a l’Agència Espanyola de Protecció de Dades sobre el tractament de les dades biomètriques. Ens hauràs d’explicar què són aquestes dades i què comporta la prohibició del seu ús per al control horari i control d’accés que moltes empreses tenen. Què significa tot això?
Dades biomètriques són, per exemple, l’empremta dactilar, l’iris o el reconeixement facial. Això són dades biomètriques. Fins ara hi havia una autorització per poder-les utilitzar. Ara bé, des del Comitè Europeu de Protecció de Dades ha sortit una norma que diu que no es poden utilitzar per control horari i des del novembre de l’any passat està totalment prohibit.
Això ve arran d’aquesta notícia que una empresa comprava l’Iris de la gent a canvi de criptomonedes?
No hi té res a veure. Són conceptes diferents. El que estem dient aquí és que tractar amb dades biomètriques sensibles té un factor de responsabilitat i el que recomana és que si hi ha altres formes de fer aquest control horari, ja sigui a través de targetes, clauers o codis, s’utilitzin.
Parlant de dades biomètriques, aquí el tema d’interès és la venda i la compra d’aquests iris de l’ull. Quina és la teva opinió respecte del que et comentava?
Primer de tot cal separar dos conceptes; on trobem que ens demanen la nostra empremta per accedir a algun lloc? Pel control horari a la feina, o per l’accés a un gimnàs, per exemple. Aquestes empreses han de vigilar perquè ja s’estan començant a aplicar sancions i no són barates. Per al control d’accés i control horari, està prohibit.
Per altra banda, l’empresa Worldcoin el que feia és comprar la imatge de l’iris de la gent.
És possible que s’hagi fet aquesta modificació arran d’aquesta qüestió.
No. Són conceptes diferents. Respecte a aquest tema de la compravenda de l’iris, el que va fer l’AEPD va ser prohibir-ho, de moment, perquè hi havia una captura de dades sobre la qual no s’informava adequadament de què es faria d’aquelles dades i a qui se li podrien arribar a vendre. Després, s’agafaven dades de menors, possiblement sense l’autorització de les persones que els tenien a càrrec. A més, el desistiment no estava detallat, tampoc.
D’acord, ara ho entenc.
Cal tenir molt clar que l’iris és una part fonamental de la persona amb la qual se la pot identificar.
I amb això què poden fer?
Doncs suplantació d’identitat, ciberdelinqüència, es pot patir assetjament, etc. Cal que quan se cedeixin o venguin aquestes dades, es tingui molt clar amb quina finalitat s’utilitzaran. Jo aconsello que no se cedeixin, ni venguin.
Està clar, però hi ha hagut moltíssima gent que l’ha venut i aquesta empresa de moment no ho ha utilitzat. Ha pagat per aquesta qüestió.
Ho ha parat de comprar a nivell estatal.
Però les dades que ja té comprades…
No sabem què en farà.
Passant a un altre tema d’actualitat, el sistema de verificació d’edat per protegir els menors davant de l’accés al contingut d’adults a Internet que ha emès l’Agència Espanyola de Protecció de Dades. En què consisteix i com ens pot afectar?
Hi ha una preocupació per part d’associacions de pares i mares per la facilitat dels menors per accedir a continguts per a adults.
S’ha fet una proposta que permetria verificar si l’usuari és apte o no per accedir a determinats llocs web. Aquesta proposta és pionera a nivell europeu i cal acabar d’analitzar-ho per aplicar-ho, però hi ha una gran sensibilització amb aquests temes perquè s’ha detectat un augment de l’accés a la pornografia en edats molt precoces de 10, 11 o 12 anys.
Crec que la Casa de la Moneda, estarà al darrere del possible control que pugui aplicar-se.
Aquests elements aniran acompanyats de la Casa de Timbre i Moneda per adaptar-ho a aquests llocs web. És un tema molt seriós.
Evidentment i per tal de poder accedir a aquests llocs hauràs de verificar qui ets.
Sí, però s’ha de fer de tal manera que no sigui invasiu, que no controlin qui ets i que no hi hagi un seguiment. Els conceptes no són fàcils, per això han tret una proposta, ho estan intentant implementar i estan intentant verificar-ho perquè tot això funcioni adequadament.
Certament, les dades són alarmants.
El que m’agradaria destacar de l’informe de què he tret l’Agència Espanyola de Protecció de Dades és que han augmentat les sancions. Aquestes sancions venen derivades per l’ús de les dades utilitzades perquè ens enviïn publicitat no desitjada, l’altre és el de la videovigilància, l’altre són les bretxes de seguretat i l’altre seria tot aquell tema de recursos d’Internet que no ens donen el servei adequat. Les denúncies han augmentat un 43% i arriben a una xifra de 21.590 reclamacions a l’AEPD.
És increïble perquè malgrat les sancions i malgrat saber que existeix la llei de protecció de dades, moltes d’aquestes empreses continuen actuant i a més a més, ho fan sense cap pudor, possiblement sabent que la multa que obtindran no els farà cap mal.
El problema no és la multa. El problema és que no denunciem. A veure, jo tampoc us estic incitant que denuncieu, eh? Potser hauríem de denunciar més, però el problema és que som passius, no denunciem.
Pel que fa a les bretxes de seguretat. En tenim moltes.
Concepte, bretxa de seguretat. El concepte bretxa de seguretat és la pèrdua o robatori o vulneració de dades. Per exemple, el que es va fer al Clínic, allò va ser una violació de seguretat, una bretxa de seguretat. Per què ha estat denunciat? Perquè totes les entitats i empreses estan obligades a comunicar si hem tingut una bretxa de seguretat. Si hem vingut a la meva oficina m’han pres el servidor on hi ha les dades, hem perdut un portàtil, hem patit un hackeig… S’ha de comunicar a les autoritats de control.
Qui són les autoritats de control?
En tenim dos a Catalunya, l’Autoritat Catalana de Protecció de Dades i a nivell estatal tenim l’Agència Espanyola de Protecció de Dades. L’autoritat Catalana de Protecció de Dades opera sobre tot allò que sigui de caràcter públic: hospitals, ajuntaments, col·legis, etc. i tota la resta d’entitats hem d’anar a l’AEPD.
És important comunicar-ho. Perquè si no es comunica i s’utilitzen de forma fraudulenta aquestes dades, ens poden sancionar.
Poden sancionar a aquell que no ho ha comunicat. Per acabar, consells que ens puguis donar per estar alerta i evitar que ens enganyin.
Estem en època de la renda. Ens pot arribar un SMS dient que ens tornaran uns diners de la declaració de renda. A qui no li fa gràcia que li tornin uns diners?
Normalment has de pagar.
Però a molta gent els tornen diners. Aleshores, suplanten la identitat de l’Agència Tributària o inclús de la Seguretat Social i et diuen que tenen uns diners t’han de retornar. Llavors, quan fas clic, t’agafen les teves dades i et demanen que t’identifiquis i que donis unes dades bancàries. A partir d’aquí ja pot haver-hi extorsió. Per tant, recomanem anar amb molt de compte abans de proporcionar qualsevol dada i assegurar-nos de l’autenticitat del lloc on les estem posant.
Mira l’entrevista completa aquí.
A ASS Plus som especialistes en seguretat i protecció de dades. El nostre equip d’experts està preparat per ajudar-te a garantir el compliment normatiu de seguretat i protecció de dades.
Si vols saber com podem ajudar-te a complir amb la normativa vigent, contacta amb nosaltres!