Ricard Castellet

Sí, necessites un Avís legal a la teva web!

per

Són preguntes recurrents. Què és l’Avís legal? En necessito un per a la meva web? Això té a veure amb la Protecció de Dades? Vull aprofitar el post per aclarir els dubtes i explicar quina és la seva obligatorietat, el contingut mínim i la seva funció. Engeguem així una sèrie d’articles que cobriran els diferents aspectes que hem de tenir en compte perquè la nostra web sigui completament legal.

Què és l’Avís legal?

El concepte d’Avís legal es refereix a l’advertència legal que s’inclou en la majoria de webs i que recullen, d’una banda, las responsabilitat del propietari de la web i, de l’altre, els drets del visitant del lloc.

Perquè és obligatori disposar d’un Avís legal?

Perquè així ho diu la Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació y de Comerç Electrònic (LSSICE).

Quan és obligatori tenir un Avís legal?

Estan obligades a exhibir l’Avís legal totes les webs de caràcter corporatiu, és a dir, que pertanyin a una empresa o a un professional, que tinguin o pretenguin tenir activitat econòmica o que estiguin relacionades amb algun tipus d’activitat professional.

Entren dins d’aquests supòsits a) les webs o blogs corporatius que tenen com finalitat oferir, divulgar o promocionar algun tipus d’activitat professional; b) totes aquelles webs dedicades al comerç electrònic, botigues online, ecommerce que ofereixin productes o serveis y c) llocs web que incloguin algun tipus de publicitat.

Què ha d’incloure l’Avís legal?

  • Nom o denominació social, NIF/CIF i dades de contacte (domicili, correu, etc.)
  • Inscripció al Registre Mercantil, si l’empresa està registrada
  • Autorització administrativa si l’activitat ho precisa
  • Dades del Col·legi Professional si l’activitat està regulada
  • Termes d’ús de la web per regular drets i responsabilitats dels usuaris
  • Referència als drets de Propietat Intel·lectual, tant propis com de tercers
  • Responsabilitat i garanties del titular de la web
  • Data, versió i vigència de la informació i possibles canvis

On haig de posar l’Avís legal en la meva web?

S’ha de posar un enllaç al peu de totes les pàgines de la web. L’objectiu és que estigui sempre disponible per consultar. El contingut ha de ser només el propi Avís legal.

I si no complim?

 Doncs, com sempre, estarem exposats a sancions, hi afegirem el dany reputacional i no generarem confiança entre els nostres clients i usuaris. Tindrem, en conseqüència, menys negoci i més feble, sens dubte.

 

Cuideu-vos!

No perdem els papers!

per

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a un advocat que va llençar documents amb dades personals de diversos clients al costat d’un contenidor d’escombraries. Entre els papers es trobaven escriptures, poders notarials, sentències d’òrgans judicials, fotocòpies de DNIs de clients, testaments i altres documents amb dades personals.

L’Agència considera que l’advocat ha infringit l’article 32.1 del Reglament General de Protecció de Dades (RGPD) que fa referència a la Seguretat del tractament i tipificada en l’article 83.4.a. Tot i això, l’Agència només imposa un simple amonestació perquè considera que la multa administrativa que podria correspondre per la infracció seria desproporcionada per el reclamat. Només cal recordar que la sanció establerta per el RGPD en aquest article pot arribar als 10.000.000€ o, en el cas d’empresa, una quantia equivalent al 2% del volum total de negoci anual global de l’exercici financer anterior, optant per la de major quantia. No és cap broma.

Segons l’AEPD, la responsabilitat del lletrat ve deriva de la fallida de seguretat en el tractament de les dades personal sota la seva responsabilitat. I això té molt a veure amb no haver implantat de forma efectiva les mesures de seguretat –legals, tècniques i  organitzatives– adequades per garantir el nivell de seguretat apropiat. Així es podria haver assegurat la confidencialitat de les dades en cas d’un incident com és el cas.

Aquest incident es podria haver evitat si el despatx hagués disposat d’una Política d’Eliminació de la documentació  i els protocols corresponents. Així, per a la destrucció de paper es pot fer, des de utilitzar una simple destructora amb les característiques adequades fins a la contractació del servei a una empresa especialitzada en la destrucció de documentació, homologada (Norma UNE EN-15713) que certifiqui el procés. Una mesura de seguretat senzilla, a l’abast de tothom que ens pot estalviar un disgust.

El Reglament no té un llistat de mesures a aplicar sinó que, en el marc de la responsabilitat proactiva del responsable, aquest haurà d’aplicar aquelles mesures que siguin proporcionades i adequades al risc assignat al tractament en qüestió. I aquestes mesures tenen que tenir en compte diversos factors com són els costos d’implementació, l’estat de la tècnica, al context, l’abast, les finalitats del tractament, entre altres.

En fi. Un advocat no pot tirar els seus papers a les escombraries. Tu tampoc!

Cuideu-vos!

Per una Internet segura

per

A finals de gener, va tenir lloc el Dia Internacional de la Protecció de Dades amb l’objectiu de promoure el coneixement entre els ciutadans sobre quins són els seus drets i responsabilitats en matèria de protecció de dades. Aquest dia està impulsat per la Comissió Europea, el Consell d’Europa i les autoritats de protecció de dades dels estats membres de la Unió Europea.

Els Dies Internacionals són un bon mecanisme per alertar i conscienciar als ciutadans de temes importants que ens afecten a tots. Coneixem dies per temes sanitaris, qüestions sobre els drets humans, el racisme, el feminisme i tantes altres causes nobles. Doncs bé, la Protecció de Dades té el seu dia, 28 de gener, i la Internet segura, també: 9 de febrer. De la primera en vam parlar fa uns dies (veure post) i de la segona en parlarem avui.

El Dia de Internet Segura (“Safer Internet Day”) és un esdeveniment que té el recolzament de la Comissió Europea i que té com objectiu promoure un ús segur i positiu de les tecnologies digitals, en particular, entre nens i joves. No tan sols es pretén la creació d’una Internet més segura, sinó millor, per convertir-la es un espai  on tots fem un ús responsable, respectuós, crític i creatiu de la tecnologia. I dirigit en especial a nens i joves, un col·lectiu alhora molt vulnerable i que resulta imprescindible formar-lo com a futur pilar de la societat.

Referent en aquesta matèria és INCIBE (Institut Nacional de Ciberseguretat) i el seu portal is4k, INTERNET SEGURA FOR KIDS. EL seus programes, ajudes i campanyes són imprescindibles perquè tots aprenguem a estar més segurs a Internet. INCIBE treballa per afermar la confiança digital, elevar la Ciberseguretat i la resiliència i contribuir al mercat digital de manera que s’impulsi l’ús segur de ciberespai a Espanya.

Coincident amb el Dia de Internet Segura, Microsoft ha publicat el seu informe anual que titula “Índex de Civisme Online” en el portal dedicat a promoure el civisme digital. El titular més cridaner del estudi diu que Espanya encapçala, a nivell mundial, els fraus, les estafes i enganys online. Per ser la nostra primera inclusió en el estudi, els resultats no són gaire esperançadors i tenen força marge de millora. Diu també l’estudi que el civisme a Internet ha empitjorat des del començament de la pandèmia i que un 34% assegura haver rebut contacte no desitjat a Internet i un 26% afirma haver sigut víctima de “sexting” (El sexting és una pràctica que consisteix en enviar missatges amb contingut eròtic a través de dispositius tecnològics de manera voluntària).

Convé conscienciar-nos sobre els riscs que comporta el mal ús de la tecnologia. Tot lo beneficiós que resulta en tants àmbits, imprescindibles a aquestes altures, se’ns pot tornar en contra per ignorància o excés de confiança. No deixem que passi.

Cuideu-vos!

Nou Codi de Conducta de Tractament de Dades en l’Activitat Publicitària sota el RGPD

per

A finals de l’any passat, l’AEPD va aprovar el primer Codi de Conducta sota el RGPD. Aquest Codi és el de Tractament de Dades en l’Activitat Publicitària. Probablement eclipsat per altres novetats com l’entrada en vigor del nou Codi de Conducta sobre l’Ús de Influencers en la Publicitat (“Inflluencer”: aquí tens els teu Codi), el sector no li ha prestat prou atenció. Així que, en les properes ratlles mirarem de fer un resum de les novetats i de repassar-ne els punts clau.

Diguem, d’entrada, que el contingut principal del Codi és l’establiment d’un sistema extrajudicial per tramitar reclamacions sobre protecció de dades i publicitat, àgil, eficaç i gratuït per als consumidors. L’elaboració dels Codi de Conducta està recollida en els articles 40 i 41 del RGPD. El RGPD estableix que les autoritats de control han de promoure l’elaboració de codis de conducta destinats a contribuir a la correcta aplicació del Reglament, tenint en compte les característiques específiques dels diferents sectors de tractament i les necessitats específiques de les microempreses i les petites i mitjanes empreses .

En la primera part, el Codi revisa els principis de tractament de dades que la indústria publicitària ha de complir, en especial fa referència a les mesures de protecció de dades des del disseny i per defecte i el principi de minimització. També recorda l’obligació de informar als interessats del tractament de les seves dades amb finalitats de màrqueting, que el consentiment s’ha de donar separada i inequívocament o que l’interès legítim exigeix una ponderació. També recorda la necessitat de consulta prèvia als sistemes d’exclusió publicitària si no hi ha consentiment exprés.

Potser un dels aspectes més rellevants del Codi és el nou sistema extrajudicial de resolució de reclamacions de protecció de dades i publicitat. El procediment que s’estableix permet que els usuaris que ho desitgin presentin reclamacions gratuïtament contra les empreses adherides al Codi quan entenguin infringits els seus drets de protecció de dades en el marc d’una activitat publicitària, com ara: la recepció de publicitat no desitjada, l’exercici de drets relacionats amb la publicitat (com el d’oposició), i el tractament de dades en promocions publicitàries o mitjançant cookies publicitàries, entre altres.

I per les empreses, ofereix un mecanisme de resolució de reclamacions especialitzat, àgil, de baix cost i eficaç, alternatiu a la intervenció administrativa. I es considera una mesura de responsabilitat proactiva i pot ser un atenuant en cas d’eventuals sancions.

A aquest Codi si poden adherir qualsevol de les entitats de la indústria publicitària. És una eina útil en matèria de Compliance que ajudarà a les empreses a millorar la seva reputació davant del consumidor, augmentant la seva confiança. I ajudarà als consumidors a mantenir la seva privacitat sota control.

Cuideu-vos!

28 de gener: Dia internacional de la Protecció de Dades

per

Al llarg de l’any es commemoren molts dies per les més diverses causes (el clima, els drets de diversos col·lectius desafavorits i tantes altres causes nobles). Doncs també hi ha una dia per commemorar la Protecció de Dades (Privacy en els països anglosaxons). I aquest dia és el 28 de gener.

Com en la resta de dies, es tracta de crear consciència entre col·lectius de manera que ens conscienciem tots de la importància que la privacitat té a les nostres vides. I les implicacions que pot suposar, cada cop més, que no hi prestem atenció. I, per evitar-ho, celebrem un cop l’any el Dia Internacional de la Protecció de Dades.

Alguns fets recents posen de manifest que les coses estan canviant. Per exemple, l’anul·lació del Privacy Shield per part del Tribunal de Justícia Europeu o les noves directives sobre cookies que vam conèixer aquest estiu. Ens fem ressò també de les recents multes de l’AEPD. Tant les de import molt elevat, a BBVA i Caixabank, com altres més modestes però que castiguen conductes molt habituals en el dia a dia. El cas que hem viscut recentment amb l’eina “RadarCovid” que el govern va posar a disposició de la ciutadania per lluitar contra la pandèmia sense publicar l’avaluació d’impacte. O la recent decisió de Whatsapp d’ajornar l’entrada en vigor de les noves condicions d’ús de l’aplicació.

I aquesta última ha sigut especialment polèmica, perquè obliga a l’usuari a acceptar-les i, per tant, a compartir dades amb Facebook. De fet, ha generat una sortida important d’usuaris cap a altres plataformes de missatgeria com Telegram o Signal. El que posa de manifest aquesta “rebel·lió” és que els usuaris són cada dia més conscients dels seus drets i que no estan disposat a deixar-se avassallar per les grans tecnològiques. De fet, tampoc per els grans bancs o grans empreses, ni siquiera per modestos despatxos d’advocats com hem vist més amunt. Per ningú.

Lluny queden els dies en que els usuaris llegien les condicions i acceptaven sense preguntar, empesos per la il·lusió de fer servir l’aplicació quan abans. Era un temps en el qual es donaven situacions inversemblants i absurdes amb les condicions. Ara, al menys, hi ha gent que sí les llegeix i ens alerta a la resta.

En el bon camí, es va presentar recentment el Pacte Digital per la Protecció de les Persones, un gran pacte per la convivència ciutadana en l’àmbit digital, en el que es posa en valor la privacitat com un actiu per les organitzacions públiques i privades. Un gran pas endavant.

Feliç dia. Cuideu-vos.

Imatge Pixabay

Multes AEPD: Sanció per 8 correus sense còpia oculta

per

A principis de desembre, l’Agència Espanyola de Protecció de Dades publicava la resolució per la que s’imposava a un despatx d’advocats una sanció de 10.000 €. El motiu? Haver enviat un correu electrònic a vuit destinataris, informant sobre el bloqueig de les seves comptes, sense utilitzar la copia oculta.

EL RGPD estableix en l’article 5 els principis que han de regir el tractament  de les dades personals i menciona entre ells el de “integritat i confidencialitat”. L’article exigeix les dades “seran tractades de tal  manera que es garanteixi una seguretat adequada”.

Alhora, l’article 32 del RGPD “Seguretat del tractament”, estableix una sèrie de mesures tècniques i organitzatives que garanteixen un nivell adequat al risc que s’ha definit. Entre elles està la capacitat de garantir la confidencialitat de les dades personals.

Entén l’Agència que, de la documentació revisada, hi havia indicis suficients de que el despatx d’advocats havia vulnerat l’article 32 RGPD perquè s’havia produït una bretxa de seguretat dels seus sistemes. Per aquesta infracció, l’AEPD considera que la sanció que correspondria seria d’advertència, instant al denunciat a que corregeixi el efectes de la infracció comesa i s’adeqüi a les exigències de l’article 32.

En canvi, per la infracció de l’article 5.1 f) del RGPD la sanció que correspon és una multa per import de 10.000 €. I el que és més important, al ser una infracció de l’article 5 RGPD, la sanció podria arribar fins als 20.000.000 € o el 4% del volum de negoci total anual global de l’exercici financer anterior, optant per la de major quantia. Una barbaritat!

En efecte, un disbarat de sanció però que posa de manifest la importància que la protecció de dades està adquirint cada dia més. Convindreu amb mi que 10.000 € de multa per 8 correus és una sanció molt important.

I no és una sanció a una gran empresa sinó a un modest despatx d’advocats. És el que es coneix com “avís a navegants”. La protecció de dades requereix que tots fem un esforç per entendre els seus objectius finals i posem les mesures necessàries per complir. Les regles del joc estan per seguir-les i això no és una excepció.

Cuideu-vos!

Multes AEPD: no hi ha dos sense tres?

per

Primer de tot, permeteu-me la llicència de la traducció del títol de l’espanyol. No estic segur que sigui del tot correcte però és que encaixa perfectament amb la situació que estem vivint. Abans d’ahir una altre multa rècord de l’AEPD. Aquest cop a Caixabank per un import de 6 milions d’euros, superant els 5 de BBVA de fa uns dies.

 A la sanció del BBVA ens hi vam referir la setmana passada. I tot el que vam dir llavors és perfectament aplicable al cas present. A Caixabank, com van fer amb BBVA, li han imposat dos sancions; una lleu, de 2 milions d’euros i una de greu, per un import de 4 milions d’euros.

La lleu correspon a la vulneració dels articles 13 i 14 del RGPD i la greu per saltar-se l’article 6 del Reglament. Recordem que l’article 13 fa referència a la informació que s’haurà de facilitar quan les dades personals s’obtinguin de l’interessat. I que el 6 parla de la Licitud del tractament. Segons l’AEPD, Caixabank incompleix els requisits establerts per a la prestació d’un consentiment vàlid, en tant que manifestació de voluntat específica, inequívoca i informada tal com demana el RGPD. Fins i tot es menciona una cessió il·lícita de dades personals a empreses del Grup Caixabank.

També, com en el cas del BBVA, l’AEPD commina a Caixabank a que, en el termini de 6 mesos, adeqüi a la normativa les operacions de tractament que realitza, la informació que ofereix als seus clients i els procediments que fa servir per recollir el consentiment.

Dit això,  algunes consideracions sobre la marxa. D’aquella multa a Facebook de 1,2 milions d’euros el 2017 hem passat a les actuals. Sembla que hi ha un salt quantitatiu molt important. I sembla que a l’Agència no li tremola el pols, que ha perdut la por. Encara estem lluny de les multes de desenes de milions però estem en camí.

I  el que em sembla molt rellevant és que l’AEPD obligui expressament a les empreses a esmenar els procediments per adequar-los a la normativa. Això posa de manifest la voluntat de que les coses es facin ben fetes. I, a ben segur, que aquestes modificacions no seran gens senzilles donada la mida de les entitats afectades.

Hi haurà una tercera sanció en aquesta línia? Podria ser un altre banc?

La resolució, de 177 pàgines, caldrà llegir-la amb atenció. Però sens dubte, això és un clar avís a navegants. Haurem d’estar atents.

AEPD: Sanció rècord i rècord de sancions

per

Encara que sembli que fa molt temps, va ser poc abans de Festes quan l’AEPD va imposar la sanció més alta de la seva història: 5 milions d’euros de multa al BBVA per vulnerar 3 articles del RGPD. I a això s’ha d’afegir que Espanya és líder de la Unió Europea en sancions a PIMES per incompliments del RGPD.

En realitat han estat dos infraccions. La primera, qualificada de molt greu, de 3 milions d’euros  per vulnerar l’article 6 del Reglament General de Protecció de Dades (RGPD), quant a la fórmula per obtenir el consentiment dels clients. La segona, de caràcter lleu, per les dades obtingudes de l’interessat que suposen una vulneració dels articles 13 i 14 de l’esmentat Reglament.

Al mateix temps, la resolució imposa una sèrie de mesures que obliga al BBVA a canviar, en un termini màxim de sis mesos, el seu sistema de gestió de protecció de dades en relació al deure de informació i l’obtenció del consentiment.

Sense voler entrar en més detall de la resolució (podeu llegir-la íntegre aquí), si vull aprofitar per fer diverses consideracions.

Per començar, el fet més cridaner que suposa l’elevat import de les sancions. Sembla que l’AEPD, en línia amb altres autoritats de control europees ha decidit imposar sancions molt elevades. Algú pot dir que per una entitat com el BBVA es tracta d’una quantitat irrisòria. Però no hem d’oblidar que les sancions podem arribar fins a 20.000.000 d’euros o el 4% de la facturació anual consolidada del grup. I sembla que s’ha engegat un camí més estricte.

D’altre banda, el dany reputacional per l’entitat pot ser molt elevat. El ressò mediàtic que ha tingut la noticia no ha passat, estic segur, desapercebut per la societat, en general, i per els grups d’interès del banc (clients, accionistes, etc.), en particular.

I tot va començar amb un SMS publicitari enviat a un client que estava donat d’alta en Llista Robinson des de feia temps. Fixa’t tu qui ho havia de dir.

I per completar el panorama sancionador, avançar-vos que Espanya lidera la UE en sancions a PIMES. El número encara és modest però l’increment de multes del 2019 al 2020 ha estat del 252%. Però d’això en parlarem en un proper post en el que aportarem dades d’un estudi propi.

Convé, en qualsevol cas, que les empreses extremin les seves precaucions.

Cuideu-vos!

Texts webs, legals o il·legals?

per

Tothom parla, i aquests dies més que mai, dels texts legals de la web. Entre el rebombori de les cookies i la normativa aplicable al comerç online, imprescindible en aquestes dates, hi ha, per una banda, una certa confusió en saber quins texts es necessiten i, per l’altre, hi ha diferents pràctiques esteses al sector que comporten seriosos riscos. I aquests riscos són per als empresaris que encarreguen la pàgina web però també per a alguns dissenyadors web, per als quals, tot sovint veiem que la privacitat o les condicions de compra no són una preocupació prioritària perquè no és la seva responsabilitat.

 Els texts legals web estan subjectes a normatives diferents. A més dels relatius a la Protecció de Dades derivats del Reglament General de Protecció de Dades (RGPD) i la LOPD (com la Política de Privacitat), dels quals n’hem parlat en diferents ocasions (A part dels texts legals a la web, que més haig de fer?  o Em puc refiar de la teva web? ), estan els que són conseqüència de la LSSICE (com l’Avís legal o la Política de Cookies). I naturalment els que es refereixen a les Condicions de compra quan el site disposa d’un e-commerce (Llei d’ordenació del Comerç minorista i RDL de la Llei General per la Defensa dels Consumidors i Usuaris).  I d’això últim en parlem avui.

Ara vénen les Festes de Nadal en les que les compres online es disparen. Totes les compres estan subjectes a unes condiciones de contractació específiques per cada cas que necessàriament han d’estar exposades en el site web, a disposició dels usuaris. En conseqüència, totes les compres, com a compravenda que són, estan subjectes a aquests contractes vinculants entre les parts.  I que afecten a actuacions que poden tenir conseqüències greus com no avisar al consumidor del dret desistiment[1] que l’assisteix per a retornar el producte comprat en els 14 dies següents a la compra i amb quines condicions s’han de fer les devolucions. I si l’empresari no ha complert amb el seu deure de informació i documentació, aquest període serà d’un any i 14 dies. No és cap broma.

Per tant, l’empresari té que assessorar-se degudament amb professionals que garanteixin el compliment de les obligacions legals en el món de Internet de la mateixa manera que ho fan en el món físic. Perquè si l’empresari no ho fa, el dissenyador web no hi presta atenció (al cap i a la fi no és la seva responsabilitat) i, per arrodonir-ho, l’usuari no és llegeix els texts legals, estem davant d’una situació de inseguretat jurídica extrema que, més aviat que tard, tindrà conseqüències per el tràfic web, en especial per el comerç electrònic.

Fem, entre tots els professionals, que tenir texts legals a la nostra web sigui la normalitat. I, com usuaris, no signem contractes sense llegir i entendre les conseqüències.

[1] Reial Decret Legislatiu 1/2007, de 16 de novembre, pel qual s’aprova el text refós de la Llei General per a la Defensa dels Consumidors i Usuaris i altres lleis complementàries.

Revisió Texts legals web