Grabar en bares sin permiso, el buscador Ecosia y ciberseguridad para pymes: todo incluido en el 45º consultorio de Maldita Tecnología

¡Hola, hola, malditas y malditos! Acudimos fieles a nuestra cita de los martes para contestar a vuestras dudas sobre el mundo digital. Hoy tenemos un popurrí sobre privacidad, derechos de imagen y ciberseguridad, así que quedaos hasta el final porque es muy probable que vosotros también os hayáis hecho alguna de estas preguntas.

Como bien sabéis, este consultorio existe para responder a vuestras dudas, así que no dejéis de mandar vuestras preguntas al correo electrónico [email protected], a Twitter y en Facebook o apuntadas en este formulario. Cada semana las respondemos aquí.

¿Puede alguien grabar con el móvil en un restaurante o un bar y que aparezca yo en el vídeo aunque no me hayan pedido permiso?

¿Por qué puede ser esto un motivo de molestia? Porque esas imágenes quizás terminan colgadas en las redes sociales de un desconocido y a lo mejor no te apetece salir en ellas. Si no queremos, no tenemos por qué exponernos a que alguien nos reconozca en una foto o un vídeo que nosotros no hemos consentido y menos que aparezcan en internet. Además, esto que te contamos aplica igual para un bar, que para el metro o para un super.

Según la Ley Orgánica de Protección de Datos (LOPD), la imagen es un dato personal porque nos identifica, y por lo tanto está protegido. Sin embargo, más allá de esta norma, en España contamos con la Ley 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, que directamente dice que no se pueden tomar fotos o hacer vídeos de una persona sin que esta haya dado su permiso.

Lo explica a MalditaSamuel Parra, abogado especializado en protección de datos en ePrivacidad: “Antes de grabar, la persona tendría que haberte pedido tu consentimiento, lo que pasa es que probablemente esa persona ni conozca la ley y, lo más seguro, es que tenga una concepción errónea de que puede hacerlo porque está en un sitio público”.

Al contrario de lo que se pueda pensar en general, un restaurante o un bar son espacios privados, por mucho que los compartas con más gente. Según la normativa, cualquiera que quiera grabar imágenes en su interior tiene que pedir permiso a las personas que puedan aparecer en ellas, aunque no sean el objetivo principal por las que se toman. Esto también ocurre en una playa o incluso en el campo, aunque sean espacios abiertos.

Parra explica que las excepciones que contempla la Ley 1/1982 solo hacen referencia a las fotos o vídeos que se hacen de personajes públicos o de hechos noticiosos y a la toma de imágenes “accesorias”. Por ejemplo, en un acto de campaña los fotógrafos y los cámaras que lo cubren no tienen que pedir permiso a los políticos que hablan (son personajes públicos) ni a la gente que acude a verlo (es un hecho noticioso y su presencia en el acto es “accesoria”).

El problema con esta situación, aparte del desconocimiento general de las leyes y las normativas de protección de datos, es que la ley de la propia imagen de 1982 no contaba con la aparición de las redes sociales ni que tres o cuatro décadas después de su entrada en vigor la gente tuviese esta tendencia a compartir toda su vida en un espacio público, como lo es internet.

“Una red social en la que tenemos un montón de amigos o seguidores y un perfil abierto no es un entorno doméstico y si queremos hacer un tratamiento de datos, ya sea subir una foto con más personas a Facebook o etiquetar en ella a alguien va a requerir el consentimiento de esas personas”, explica Parra. “Si no lo tenemos, va a ser una infracción”.

¡Ah, amigo! ¡Quizás esto no lo sabías! ¿Alguna vez le has pedido permiso a tu abuela para subir su foto vacunándose a redes sociales o a los amigos de tus amigos para aparecer en ese vídeo de aquel cumpleaños? Técnicamente, lo necesitas.

Para aquellas personas que se vean en esta situación, hay dos maneras de pedir la retirada de las imágenes: con una denuncia a la Agencia Española de Protección de Datos (AEPD) o por la vía civil, aludiendo a la Ley 1/1982. La denuncia ante la AEPD es más sencilla y gratuita, ya que no hay juicio de por medio, mientras que por la vía civil como mínimo necesitarás un abogado y cubrir los costes. Parra recuerda que con la agencia solo aspiramos a una multa, mientras que con un juicio podemos recibir una indemnización.

¿Es cierto que Ecosia planta árboles gracias a los usuarios que usan este buscador? ¿Cómo puede hacer esto? ¿En qué se basa su modelo de negocio?

Nos habéis preguntado cómo es posible que un buscador por el que no tenemos que pagar sea capaz de ganar dinero y, encima, plantar árboles con él. Todo esto mientras asegura ser más respetuoso con nuestra privacidad que otros, como Google, que es la herramienta más usada para realizar búsquedas en internet. Es el caso de Ecosia, un buscador que funciona a modo de extensión para nuestro navegador o usando una aplicación en nuestro móvil.

Grabar en bares sin permiso, el buscador Ecosia y ciberseguridad para pymes: todo incluido en el 45º consultorio de Maldita Tecnología

Lo primero que hay que saber es que Ecosia no funciona con una estructura propia, sino que utiliza el sistema de búsquedas de Bing, propiedad de Microsoft. Es decir, que todos los resultados que nos ofrece al buscar algo son los mismos que obtendríamos al buscar en Bing.com. Partiendo de esa base, ya sabemos que algunos datos sí o sí tienen que transferirse a Microsoft: nuestras búsquedas, desde dónde las hacemos, en qué idioma, nuestra dirección IP, etc. porque si no no podrían darnos el servicio.

Con esa información, Ecosia nos muestra anuncios que, a su vez, le ha proporcionado Bing. Cada vez que los usuarios hacen clic en uno de esos anuncios, Ecosia (y Bing) se lleva un porcentaje. Lo que dice la organización es que con esos ingresos pagan a otros socios para que planten árboles. Además, también venden ropa y otros productos personalizados.

Ecosia asegura que datos personales como nombres, fechas de nacimiento o direcciones no se almacenan, pero sí datos menos específicos sobre nuestros dispositivos. Por ejemplo, guarda el idioma en el que buscamos o la dirección IP desde la que nos conectamos, así como los datos de localización de nuestro teléfono (si le damos acceso a ella), que recoge para “mejorar la experiencia” o para “mostrar resultados de búsqueda o anuncios más relevantes”. Al final, Ecosia actúa como un intermediario, lo que añade una capa más de privacidad para los usuarios, a pesar de no ser infalible.

“Esta empresa tiene la capacidad de reducir muchos costes operativos porque no tiene que mantener una infraestructura ni tampoco una araña para ir buscando los resultados”, comenta a MalditaCarlos Fernandez Barbudo, profesor de Teoría Política y Ciberseguridad en la Universidad Rey Juan Carlos e investigador en tecnología. “Tiene un modelo de negocio muy sencillo: hace negocio de los anuncios que sirven a través de Bing”.

Barbudo explica cómo operan la mayoría de servicios gratuitos que generan ingresos mediante la publicidad: “En este caso, dicen que no almacenan la información ni recopilan datos sobre tu comportamiento, lo cual es bastante cierto. El problema es que sí que transmiten información a Microsoft: te adjuntan un identificador único y cada vez que tú utilizas su buscador se lo trasladan, de modo que es esta empresa y en concreto Bing y su sistema de publicidad los que realizan esa personalización”.

Esa personalización es por la que luego pagan las empresas, ya que les interesa saber a quién dirigir su publicidad exactamente para aumentar las probabilidades de que alguien compre su producto. En ese sentido, añade Barbudo, este buscador “es menos intrusivo, amenaza menos a la privacidad porque ellos hacen de intermediario, poniendo una capa más, pero al final sigue basándose en tus búsquedas, en qué haces clic o qué anuncios son más útiles, van personalizando tu contenido”.

Aparte de usar la infraestructura de Bing, de Microsoft, Ecosia utiliza otros servicios de grandes tecnológicas: por ejemplo, usan rastreadores de Facebook, Google o Amazon para medir si una campaña de publicidad ha tenido éxito al mostrarse en diferentes páginas web. Al final, siempre suele haber una dependencia de servicios más pequeños hacia estas grandes empresas porque son las que acaparan la infraestructura a nivel global y no hay competencia posible que hacerles.

¿De qué le sirve a estas grandes tecnológicas entonces que un servicio mucho más pequeño aproveche sus herramientas y encima lo vendan como una alternativa? “Muchas veces los beneficios de ofrecer determinados servicios no son necesariamente económicos”, recuerda Barbudo. “Todo lo que tenga que ver con competir por ser la plataforma de referencia para hacer búsquedas en la web refuerza su posición”, añade.

Mantenerse como la compañía referente en el mercado tecnológico es imprescindible para las llamadas GAFAM: Google, Amazon, Facebook, Apple y Microsoft. Pero no solo se trata de mantener su posición dominante: también les permite seguir entrenando sus modelos de personalización de contenidos y de publicidad, porque aunque haya un intermediario como en el caso de Ecosia, siguen recibiendo datos de comportamiento.

Acabo de montar una pequeña empresa y tengo miedo de no cumplir con alguna de las normativas en protección de datos o ciberseguridad. ¿Qué es lo primero que debo saber?

A la hora de meterse en el mundo de la protección de datos y de la ciberseguridad (que puede parecer un poco intimidante si el asunto nos es totalmente ajeno), es conveniente que cada negocio haga una primera evaluación para ver en qué situación está. Es decir, hay que valorar si se va a tratar la información personal de mucha o poca gente, con quién compartiremos estos datos (y por qué será necesario hacerlo) y qué dispositivos electrónicos usaremos en nuestro día a día.

Para centrar estos primeros pasos, Sergio Carrasco, abogado experto en privacidad y asuntos digitales e ingeniero informático, recomienda que toda pequeña y mediana empresa (pyme) eche un vistazo a la web de la Agencia Española de Protección de Datos (AEPD), y más concretamente a la información relacionada con el registro de actividades de tratamiento de datos.

Lo esencial, según el experto, es identificar “qué datos se tratan, para qué, usando qué bases de las permitidas por el Reglamento General de Protección de Datos europeo y el tiempo de conservación”. “Y de ahí ir trabajando”, añade. Cuando hablamos de “bases permitidas”, nos referimos a los supuestos en los que las empresas pueden ampararse para recoger y tratar nuestros datos.

La ‘biblia’ a la que acudir cuando hablamos de protección de datos es, naturalmente, la ley que regula el asunto. En España lo hace la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), una normativa que vino marcada desde Bruselas con el Reglamento General de Protección de Datos (RGPD). Llevan operando en nuestro país desde 2018.

Ángel Benito Rodero, abogado experto en protección de datos, anima a todos aquellos responsables de una pyme a acudir a este portal de la AEPD en el que se detallan las actuaciones necesarias para adecuarse a la ley.

“Igualmente, si la empresa efectúa tratamientos de datos muy sencillos o básicos, puede utilizar la herramienta de la propia AEPD llamada ‘Facilita RGPD’. Dicha herramienta le facilitará, previa introducción de unos datos básicos y contestación de unas preguntas, unos documentos de adecuación al RGPD: documentos muy básicos, eso sí, pero al fin y al cabo validados por la propia agencia”, añade el abogado.

En el caso de que la actividad diaria de la empresa incluya un tratamiento un poco más complejo de los datos personales de los clientes (y por tanto no puedas utilizar esta herramienta), desde la agencia subrayan la necesidad de revisar de forma periódica las medidas de seguridad en torno a esta gestión de los datos, ofrecer garantías a los clientes para que estos puedan acceder a la información personal que guardamos sobre ellos y plantear mecanismos de emergencia para activar en caso de que haya alguna brecha de seguridad en las bases de datos.

Una de las figuras que incluye la ley (y que puede resultar más confusa para el pequeño empresario) es la del delegado de protección de datos. ¿Es necesario nombrar a uno? ¿Qué criterios marcan que deba o no hacerlo? Volvemos a la AEPD, que contempla una lista de supuestos en las que sería necesario nombrar a una persona que se dedique específicamente a velar por el cumplimiento de la normativa. En este artículo de Malditatambién te explicamos para qué sirve esa figura y cuándo tiene que tenerla una empresa obligatoriamente.

Hay múltiples supuestos que te obligarían legalmente a nombrar uno. Por ejemplo, es obligatorio si te dedicas a la seguridad privada, a la concesión de créditos o si el negocio realiza un “tratamiento a gran escala de categorías especiales de datos personales”.

Los dos abogados consultados por Malditaaconsejan acudir a un experto en caso de que no se tengan del todo claro las obligaciones de la pyme: más vale mirarlo con un profesional antes de enfrentarse a un posible multa por tratar de forma irresponsable los datos de los clientes.

En cuanto a la ciberseguridad, Ángel Benito explica que para todos aquellos que gestionen una pyme que “no presta ningún servicio esencial o estratégico, no hay más obligaciones que las que derivan propiamente de la normativa de protección de datos”.

En el ámbito profesional siempre es recomendable extremar precauciones y no hacer nada que no harías con tu ordenador en el ámbito privado. En esta completa guía del Instituto Nacional de Ciberseguridad (INCIBE) se dan varias claves sobre imagen online, comercio electrónico o responsabilidades respecto al cliente.

Entre las recomendaciones básicas encontramos cosas como “mantener los sistemas actualizados libres de vulnerabilidades”, “concienciar a los empleados de la correcta utilización de los sistemas corporativos” o “utilizar redes seguras para comunicar con los clientes cifrando la información cuando sea necesario”, entre otras.

Y si quieres hilar más fino, el propio INCIBE te ofrece en este enlace una herramienta de autodiagnóstico para negocios en el que podrás identificar amenazas que igual no tenías en el radar.

¡Un segundito más!

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar: