El estudio, realizado por investigadores de la Universidad de Stanford y la Universidad de Washington, se centró en el modelo ChatGPT, un chatbot basado en el popular modelo de lenguaje GPT-3. Los investigadores crearon un conjunto de datos de 1000 conversaciones entre humanos y ChatGPT, y analizaron la capacidad del modelo para inferir la edad, el género, la ubicación, la educación, el estado civil y el estado de ánimo de los usuarios.

Los resultados fueron sorprendentes. El modelo fue capaz de inferir correctamente el género del usuario en el 63% de los casos, la edad en el 51%, la ubicación en el 42%, la educación en el 41%, el estado civil en el 40% y el estado de ánimo en el 39%. Además, el modelo fue capaz de hacer estas inferencias a partir de pistas sutiles o indirectas, como el uso del lenguaje, las referencias culturales o las opiniones expresadas.

¿Qué implicaciones tiene esto para la privacidad y la seguridad de los usuarios? Los investigadores advierten que esta capacidad de los chatbots podría ser explotada por actores maliciosos, como estafadores o anunciantes, que podrían usar la información personal inferida para manipular o persuadir a los usuarios. Por ejemplo, un chatbot podría ofrecer un producto o servicio personalizado basado en la edad o la ubicación del usuario, o podría adaptar su tono o estilo para ganarse su confianza o simpatía.

Los investigadores recomiendan que se tomen medidas para proteger la privacidad y la seguridad de los usuarios que interactúan con los chatbots. Algunas posibles soluciones son informar a los usuarios sobre los riesgos potenciales, limitar el acceso a los datos personales por parte de los modelos de IA, o diseñar chatbots que respeten los principios éticos y legales.

¿Cómo puedes proteger tu privacidad cuando hablas con un chatbot?

Los investigadores recomiendan que sigas algunas medidas básicas, como:

– Informarte sobre los riesgos potenciales y los derechos que tienes como usuario.
– Limitar la cantidad y el tipo de información personal que compartes con el chatbot.
– Verificar la fuente y la credibilidad del chatbot antes de interactuar con él.
– Desconfiar de las ofertas o promesas demasiado buenas para ser verdad.
– Reportar cualquier comportamiento sospechoso o inapropiado del chatbot.

Los chatbots de IA pueden ser herramientas útiles y divertidas, pero también pueden suponer una amenaza para tu privacidad y seguridad. Por eso, es importante que seas consciente y responsable cuando los uses.

La entrada Los chatbots de IA deducen información personal a partir de lo que escribes se publicó primero en Adaptación RGPD.

¿Cuáles son los principios generales relativos al tratamiento recogidos en el artículo 5 del RGPD?

1. Principio de licitud lealtad y transparencia: Los datos personales tienen que ser tratados de manera, lícita leal y transparente en relación con el interesado.
2. Principio de limitación de la finalidad: Los datos personales se recogerán con fines determinados, explícitos y legítimos.
3. Principio de minimización de datos: Los datos serán adecuados, pertinentes y limitados a lo necesario.
4. Principio de exactitud: Serán exactos, y si fuera necesario, actualizados.
5. Principio de limitación del plazo de conservación: Se conservarán no más tiempo del necesario.
6. Principio de integridad y confidencialidad: Se tiene que garantizar una seguridad adecuada.

IMPORTANTE
El tratamiento de datos personales vulnerando cualquiera de los principios generales es una infracción muy grave.

La entrada Los principios relativos al tratamiento (I) se publicó primero en Adaptación RGPD.

1. Conoce tus responsabilidades

El primer paso para adaptarse a la RGPD es entender tus responsabilidades como empresa. La RGPD establece que todas las empresas que procesan datos personales deben cumplir con una serie de principios, incluyendo la transparencia, la legalidad, la minimización de datos y la seguridad. Además, la RGPD establece que las empresas deben obtener el consentimiento explícito de los ciudadanos para procesar sus datos personales.

2. Realiza una auditoría de tus datos

Una vez que conozcas tus responsabilidades, es importante realizar una auditoría de los datos que procesas. Esto te permitirá conocer qué datos personales de los ciudadanos europeos estás procesando y cómo los estás utilizando. Además, esta auditoría te ayudará a identificar cualquier brecha de seguridad o vulnerabilidad en tus sistemas que pueda poner en riesgo los datos personales de los ciudadanos.

3. Implementa medidas de seguridad

Después de realizar una auditoría de tus datos, es importante implementar medidas de seguridad para proteger los datos personales de los ciudadanos. Esto puede incluir medidas técnicas, como el cifrado de datos y la implementación de firewalls, así como medidas organizativas, como la capacitación del personal sobre la protección de datos.

4. Actualiza tus políticas de privacidad

También es importante actualizar tus políticas de privacidad para cumplir con los requisitos de transparencia establecidos por la RGPD. Esto incluye proporcionar información clara y detallada sobre cómo se procesan los datos personales, quién tiene acceso a ellos y cómo se utilizan.

5. Obtén el consentimiento explícito de los ciudadanos

La RGPD establece que las empresas deben obtener el consentimiento explícito de los ciudadanos antes de procesar sus datos personales. Esto significa que debes proporcionar información clara y detallada sobre cómo se procesan los datos y obtener el consentimiento activo de los ciudadanos. Además, los ciudadanos tienen derecho a retirar su consentimiento en cualquier momento.

6. Designa un delegado de protección de datos

La RGPD también establece que algunas empresas deben designar un delegado de protección de datos (DPO) para supervisar la protección de datos en la empresa. El DPO debe tener conocimientos especializados en protección de datos y debe ser independiente en el desempeño de sus funciones.

La RGPD establece que algunas empresas deben designar un delegado de Protección de Datos (DPO) o responsable de protección de datos. Esto incluye:

1. Autoridades públicas y organismos públicos que realicen actividades de tratamiento, excepto los tribunales que actúen en ejercicio de su función judicial.
2. Empresas cuyas actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales o datos personales relacionados con condenas penales y delitos.
3. Empresas que realicen un seguimiento habitual y sistemático de los ciudadanos a gran escala, como perfiles en línea o publicidad en línea.

Es importante destacar que incluso si su empresa no está obligada a designar un DPO según la RGPD, es una buena práctica hacerlo. Un DPO puede ayudar a su empresa a garantizar el cumplimiento de la RGPD y proteger los datos personales de los ciudadanos. Además, tener un DPO puede mejorar la confianza de los clientes en su empresa y mejorar su reputación en el mercado.

7. Prepara un plan de respuesta a incidentes

Finalmente, es importante preparar un plan de respuesta a incidentes para estar preparado en caso de que se produzca una brecha de seguridad o violación de datos. Esto incluye identificar los riesgos potenciales, establecer un protocolo de notificación y establecer un equipo de respuesta de emergencia para manejar cualquier situación que pueda surgir.

En resumen, la adaptación a la RGPD requiere que las empresas comprendan sus responsabilidades y realicen una auditoría de sus datos, implementen medidas de seguridad, actualicen sus políticas de privacidad, obtengan el consentimiento explícito de los ciudadanos, designen un DPO y preparen un plan de respuesta a incidentes. Al seguir estas pautas, las empresas pueden cumplir con las normas de protección de datos de la RGPD y garantizar que los datos personales de los ciudadanos estén protegidos.

Preguntas Frecuentes (FAQs)

1. ¿Qué sucede si mi empresa no cumple con las normas de protección de datos de la RGPD? Si una empresa no cumple con las normas de protección de datos de la RGPD, puede enfrentar multas y sanciones financieras significativas.
2. ¿La RGPD solo se aplica a empresas con sede en la Unión Europea? No, la RGPD se aplica a todas las empresas que procesan datos personales de ciudadanos de la Unión Europea, independientemente de su ubicación.
3. ¿Cómo puedo asegurarme de obtener el consentimiento explícito de los ciudadanos? Debe proporcionar información clara y detallada sobre cómo se procesan los datos personales y obtener el consentimiento activo de los ciudadanos. Además, los ciudadanos tienen derecho a retirar su consentimiento en cualquier momento.
4. ¿Qué es un delegado de protección de datos (DPO)? Un DPO es una persona designada por la empresa para supervisar la protección de datos y garantizar que la empresa cumpla con las normas de la RGPD. El DPO debe tener conocimientos especializados en protección de datos y debe ser independiente en el desempeño de sus funciones.
5. ¿Cómo puedo preparar un plan de respuesta a incidentes? Debe identificar los riesgos potenciales, establecer un protocolo de notificación y establecer un equipo de respuesta de emergencia para manejar cualquier situación que pueda surgir en caso de una brecha de seguridad o violación de datos.

6. ¿Es necesario actualizar las políticas de privacidad para cumplir con la RGPD? Sí, las políticas de privacidad deben actualizarse para incluir información clara y detallada sobre cómo se procesan los datos personales, los derechos de los ciudadanos en relación con sus datos y cómo pueden ejercer esos derechos.
7. ¿La RGPD se aplica a todos los tipos de datos personales? Sí, la RGPD se aplica a todos los tipos de datos personales, incluidos nombres, direcciones, información de identificación, información de salud, información financiera, etc.
8. ¿Puedo transferir datos personales fuera de la Unión Europea? Sí, pero solo si se cumplen ciertas condiciones. Debe garantizar que el país fuera de la UE tenga un nivel adecuado de protección de datos o establecer medidas de seguridad adicionales para proteger los datos durante la transferencia.
9. ¿Qué debo hacer si se produce una violación de datos? Debe notificar a las autoridades competentes de protección de datos en un plazo de 72 horas y, en algunos casos, también debe notificar a los ciudadanos afectados. Además, debe tomar medidas para mitigar el impacto de la violación de datos y prevenir futuras violaciones.
10. ¿Cuál es la importancia de cumplir con la RGPD? El cumplimiento de la RGPD es fundamental para proteger los datos personales de los ciudadanos y mantener la confianza de los clientes en la empresa. Además, el incumplimiento de la RGPD puede resultar en multas y sanciones financieras significativas.

En resumen, la RGPD es una regulación importante que establece los derechos de los ciudadanos en relación con sus datos personales y las responsabilidades de las empresas que procesan esos datos. Si su empresa opera en la Unión Europea o procesa datos de ciudadanos europeos, es fundamental que cumpla con la RGPD y adopte medidas para proteger los datos personales de los clientes. Esto no solo protege los derechos de los ciudadanos, sino que también puede mejorar la reputación y la confianza de su empresa en el mercado.

Además, el incumplimiento de la RGPD puede resultar en sanciones financieras significativas y dañar la reputación de su empresa. Por lo tanto, es importante tomarse en serio la protección de datos personales y dedicar tiempo y recursos para garantizar el cumplimiento de la RGPD.

En conclusión, la RGPD es una regulación importante que busca proteger los datos personales de los ciudadanos y establecer responsabilidades claras para las empresas que procesan esos datos. Si su empresa opera en la Unión Europea o procesa datos de ciudadanos europeos, es esencial que cumpla con la RGPD y adopte medidas para proteger los datos personales de los clientes. El cumplimiento de la RGPD no solo es una obligación legal, sino que también puede mejorar la reputación y la confianza de su empresa en el mercado.

La entrada ¿Cómo Cumplir con la Normativa de Protección de Datos en España? se publicó primero en Adaptación RGPD.

La reclamación fue interpuesta por una persona que estaba interesada en uno de los anuncios publicados por la inmobiliaria.  En el escrito de reclamación alegaba que el correo electrónico que recibió con la respuesta de la entidad estaba visible las direcciones de correo electrónico de otras personas. Como prueba relevante se acompaña a la reclamación la copia del correo electrónico recibido.

La directora de la Agencia Española de Protección de Datos admitió a trámite la reclamación presentada. Se procedió a solicitar información a la parte reclamada, pero ésta no contestó al requerimiento.

La entidad fue sancionada con 2.000 € por incumplimiento de uno de los principios regulados en el RGPD, el principio de integridad y confidencialidad. Al enviar un correo electrónico sin utilizar la copia oculta se está vulnerando la confidencialidad de los datos del resto de destinatarios. Por otro lado, además, se le sanciona con 1.500 € por no cumplir con la obligación de aplicar las medidas técnicas organizativas apropiadas que garantizasen un nivel de seguridad adecuado con el tratamiento de los datos personales, tal y como dispone el art. 32 del RGPD.

IMPORTANTE

El responsable y el encargado del tratamiento deben determinar las medidas técnicas y organizativas adecuadas al tratamiento.

La entrada Entidad inmobiliaria sancionada por no aplicar medidas de seguridad para proteger los datos personales se publicó primero en Adaptación RGPD.

La reclamación es interpuesta por una propietaria de la comunidad. En su escrito manifestó, que, durante el verano del 2020, para entrar en la piscina comunitaria, le exigían que mostrara su DNI, el cuál era apuntado por el vigilante contratado, en un papel en blanco, a la vista del resto de usuarios de la piscina. La reclamante se puso en contacto con el presidente de la comunidad, el cual, le comunicó que se recogía ese dato por la situación de pandemia COVID-19 para facilitarlo al Ministerio de Sanidad en caso de brote. Esa decisión fue tomada solamente, en Junta directiva, pero no vecinal, tal y como manifestó la administradora de fincas.

La AEPD, en su fase de investigación, envío escrito de notificación a la Comunidad de propietarios para que enviara alegaciones, pero no presentó nada al respecto. Se sanciona a la Comunidad con 6.000€ por excederse en el tratamiento de los datos, ya que, con apuntar el piso y letra hubiera sido suficiente para identificar al usuario de la piscina. Además, también, se le sanciona por no informar debidamente del tratamiento de los datos personales.

IMPORTANTE

Los datos personales tienen que ser los adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

La entrada Una Comunidad de Propietarios es sancionada con 6.000€ por incumplir la normativa de protección de datos se publicó primero en Adaptación RGPD.

Es importante diferenciar cada una de ellas. En el artículo 4 del RGPD, se define al responsable, como “aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medio del tratamiento”. Es decir, el responsable, es el que decide sobre determinados aspectos esenciales del tratamiento de los datos. Preguntarnos acerca de por qué tiene lugar el tratamiento y quién ha decidido que debe llevarse a cabo el tratamiento para ese fin concreto, ayuda a definir el rol del responsable.

El responsable siempre decide sobre los fines del tratamiento. En cambio, respecto de los medios, podemos diferenciar entre medios esenciales y no esenciales. En los no esenciales puede decidir el encargado del tratamiento.

IMPORTANTE

Para ser considerado responsable no es necesario disponer de un acceso real a los datos que esté tratando.

La entrada Roles en la protección de datos: el responsable de tratamiento se publicó primero en Adaptación RGPD.

Estas operaciones pueden ser, por ejemplo, la recogida de datos en un formulario de inscripción, la conservación de los datos en formato digital o papel para la finalidad por la cual se recogieron.

Todos los responsables y encargados de tratamiento tienen que realizar un registro de las actividades de tratamiento que efectúan bajo su responsabilidad. Este registro contendrá, entre otros:

• Nombre y datos de contacto del responsable y, en su caso, del corresponsable, representante y delegado de protección de datos.
• Fines del tratamiento.
• Categoría de interesados y datos personales.
• Categoría de destinatarios.
• Transferencias internacionales y sus garantías.
• Plazos previstos para la supresión de datos.
• Descripción general de las medidas de seguridad.

IMPORTANTE

La LOPDGDD considera infracción grave no disponer del registro de actividades de tratamiento conforme a la normativa.

La entrada La importancia del registro de las actividades de tratamiento (I) se publicó primero en Adaptación RGPD.

Algunas de estas medidas podrían ser las enumeradas a continuación:

• Diseñar funciones y responsabilidades de la plantilla de personal.
• Formar adecuadamente a las personas trabajadoras según el grado de responsabilidad que contribuya a crear una cultura de compromiso con la protección de datos.
• Advertir y formar, inclusive, los perfiles que no tienen relación directa con el tratamiento de datos personales.
• Valorar la designación de un delegado de protección de datos, con expertos formados en la materia, que asesoren en el cumplimiento de la normativa y el principio de responsabilidad proactiva.

El incumplimiento del deber de secreto y seguridad suponen graves perjuicios para la empresa y su reputación.

IMPORTANTE

La falta de adopción de medidas técnicas y organizativas para aplicar los principios de protección de datos supone una sanción grave.

La entrada Deber de secreto y seguridad en el ámbito laboral (II) se publicó primero en Adaptación RGPD.

Hoy en día, en el que estamos inmersos en la era de la digitalización, muchas de nuestras actividades laborales se desarrollan utilizando todo tipo de dispositivos digitales, tales como ordenadores portátiles, tabletas, teléfonos inteligentes y wearables. Se hace necesario que los empleadores establezcan criterios claros de utilización de estos dispositivos digitales según los usos sociales y los derechos reconocidos constitucionalmente.

A través de las políticas de utilización de dispositivos digitales, que toda empresa debería tener actualizada y revisada, se podría facilitar la información al personal laboral a cerca de los criterios de utilización. Facilitar esta información es un deber a cumplir por parte de la empresa.

El empleador podrá acceder al contenido derivado del uso de esos dispositivos digitales. La finalidad será el control del cumplimiento de las obligaciones laborales o estatutarias y garantizar la integridad de los dispositivos digitales.

IMPORTANTE

Cuando en los dispositivos digitales se permita un uso con fines privados se establecerán claramente los periodos de uso como garantía de la privacidad de la persona trabajadora.

La entrada Derechos digitales en el ámbito laboral. Derecho a la intimidad se publicó primero en Adaptación RGPD.

La reclamante manifiesta en su escrito de reclamación que sus datos fueron comunicados por su asesoría fiscal a otra asesoría, de la cuál recibió una factura a su cargo por los servicios prestados. En ningún momento se pusieron en contacto con ella para solicitarle el consentimiento del tratamiento de sus datos.

La Subdirección General de Inspección de datos inició el proceso de investigación, solicitando información sobre las causas. No se obtiene ninguna contestación sobre las mismas, lo que supone un agravante a tener en cuenta en el momento de cuantificar la sanción, puesto que una de las obligaciones del responsable es colaborar con la autoridad de control cuando ésta se lo requiera.

Se ha vulnerado el art. 6 del RGPD que recoge los supuestos de licitud del tratamiento por parte de terceros. En este caso, la asesoría fiscal con la que tenía contratado sus servicios comunica los datos a un tercero sin su consentimiento, por lo que no está actuado diligentemente.

La cuantía finalmente reclamada ascendió a 4.000€, teniendo en cuenta el agravante de la nula cooperación con la AEPD con el fin de poner remedio a la infracción y mitigar sus efectos.

IMPORTANTE

La sanción podría haberse evitado si la empresa hubiera tenido un protocolo de actuación en materia de protección de datos.

La entrada Sancionada con 4.000€ una asesoría por comunicar datos de un cliente a otra asesoría sin su consentimiento se publicó primero en Adaptación RGPD.