Ricard Castellet

Pandèmia, Ciberseguretat i Protecció de dades

per

La pandèmia ha accelerat molts processos digitals, tant a nivell particular com professional i empresarial. Teletreball, videoconferències, núvol, transformació digital, etc. ja eren tendències abans del COVID però ara s’han fet gairebé imprescindibles. I en el nou escenari, la Ciberseguretat ha saltat a la primera plana.

Noves maneres de treballar i fer negocis s’han tingut que adaptar i fer un salt qualitatiu en l’ús de les tecnologies per poder sobreviure. A més, he estat testimonis d’un fenomen inaudit com és que hem pogut fer un experiment sociològic a nivell global que era impensable fa un any. Si al gener li dic a un client que, en comptes de venir al despatx, farem una videoconferència, el més probable és que m’hagués quedat sense client. I ara n’hem aprés tots, fins i tot la gent gran, que la tecnologia ens obre un ventall enorme de possibilitats i que res tornarà a ser igual. I per millor.

Però, es clar, tot anvers té un revers. I un exemple, no l’únic, és el de la Ciberseguretat. Segons l’enquesta anual Digital Trust Survey 2021 de PwC, la pandèmia ha obligat a les empreses a donar un salt en les tecnologies digitals per, en molts casos, canviar o reinventar els seus models de negoci. I això  està  provocant un augment de les bretxes de seguretat que es troben en determinats escenaris (per exemple, en el teletreball) més exposats que mai als ciberatacs. La falta de mitjans, de preparació i de cultura digital, entre altres, situen a les empreses en un escenari molt delicat, front el qual han de fer inversions en Ciberseguretat i minimitzar riscos.

Perquè les conseqüències de patir un ciberatac poden ser devastadores. No poder accedir a la informació per un atac de ransomware o que les dades de les que som custodis (per exemple, les dades personals de les quals som responsables) es vegin exposades tindrà conseqüències en termes econòmics i, a ben segur, en termes de reputació amb un cost incalculable. L’empresa, fins i tot, pot incorre en responsabilitat penal, derivada del delicte de danys informàtics (art. 264 Codi Penal) i del de revelació de secrets (art. 197 i següents CP), sense comptar la responsabilitat civil subsidiària  de la persona jurídica que recull l’article 120.4 CP.

En resum, passada la necessària rauxa inicial en la que les empreses estaven comprensiblement lluitant per la seva supervivència, cal establir les bases de desenvolupament del negoci fent les corresponents inversions en infraestructures tecnològiques, en compliment de les diferents normatives i, sobretot, en cultura digital en l‘entorn de les persones. Només així ens garantirem el futur.

Cuideu-vos!

No, les caselles premarcades no són consentiment vàlid

per

Les caselles premarcades no es poden considerar una forma vàlida de consentiment. El consentiment requereix una acció positiva de l’usuari per tenir validesa. I estem veient que moltes empreses han adaptat la seva política de cookies fent servir aquesta mala praxis.

Des de l’entrada en vigor del RGPD, el consentiment tàcit va ser una de les formes que van quedar invalidades. I aquí entren també les famoses caselles premarcades que ara tornen a aparèixer amb les renovades polítiques de cookies que estem veient aquests dies.

Tot això ve perquè, a més de constatar la situació sobre el terreny, el Tribunal de Justícia de la Unió Europea (TJUE) en una sentencia ha imposat una multa a l’empresa Orange Romania per haver celebrat contractes de prestació de serveis amb una clàusula de consentiment en que la casella de consentiment havia estat marcada per el responsable del tractament de forma prèvia a la firma del contracte. La sentencia recorda que el consentiment de l’interessat ha de ser lliure, específic, informat i inequívoc. No es considera vàlid el silenci, les caselles premarcades o la inacció.

I tot el que diu la sentència també és vàlid per a les cookies. Des del passat 31 d’octubre l’opció de “Seguir navegant” no està permesa i cal oferir a l’usuari la possibilitat de configurar la gestió de les cookies. I aquí està el problema perquè, en més casos dels desitjables, les caselles ja estan marcades. D’aquesta manera, l’usuari té que desmarcar-les per a que el servidor no instal·li cookies no desitjades. Però si no va a la configuració, al prémer el botó “Acceptar” estarà donant el consentiment sense saber-ho i s’instal·laran totes les cookies. Les úniques cookies que es poden instal·lar sense consentiment de l’usuari són les de caràcter tècnic, es a dir, les necessàries per establir la comunicació entre el servidor i el navegador client. Tota la resta, s’han d’instal·lar després del pertinent consentiment, no abans com succeeix amb més freqüència de la desitjada.

Imatge Pixabay

Em puc refiar de la teva web?

per

La pàgina web de l’empresa és el nostre aparador, com si d’una botiga es tractés. És la primera impressió que se’n porta el nostre client potencial. I com deia Oscar Wilde, “Mai hi ha una segona oportunitat per causar una primera bona impressió”. I la base per causar una bona impressió és que la web sigui segura. Després ja podrem desenvolupar els continguts i adaptar-la estèticament.

Una web insegura és la pitjor impressió inicial que es pot emportar un visitant. Transmet una sensació entre la deixadesa i la negligència. I, a més, pot ser objecte de sanció, com és el cas d’aquesta empresa a la que l’AEPD ha imposat una multa de 3.000€ per vulnerar tant el Reglament (RGPD[1]) com la Llei de Serveis de la Societat de la Informació (LSSICE[2]). I no estem parlant d’una multinacional sinó d’una SL com hi ha tantes en el mercat.

Com saber si la web és insegura?

Lo primer és comprovar si la web té instal·lat el certificat SSL que garanteixi el xifrat entre el navegador i la pàgina. Hem d’assegurar-nos que el protocol de la pàgina comença per https:// o mostra un cadenat. Fent clic en el cadenat veurem si el certificat és vàlid i altres detalls. Altres qüestions són disposar d’un hosting que mantingui la web actualitzada, fer servir formularis de contacte en comptes de correus electrònics i altres que seran objecte d’un proper post.

Perquè, a més de la part tècnica, ens hem d’ocupar de la part legal. I això passa per posar a disposició de l’usuari, com a mínim, els següents texts legals:

  • Avís legal
  • Banner de cookies
  • Política de cookies
  • Política de privacitat
  • Condicions de contractació (si tenim e-commerce)
  • Formulari de contacte (consentiment positiu)

Tots ells resultat de l’adequació de l’empresa al RGPD i la LSSICE. És a dir, no val posar només els texts sense adequar o, el que és pitjor, copiar els texts d’una altre pàgina web. I cal prestar atenció, ara mateix, a les cookies, tema del que ja hem parlat.

Tenir una web segura i adequada en matèria de protecció de dades ens permetrà evitar sancions i transmetre confiança al visitant. La resta, contingut i estètica, ja són figues d’un altre paner.

[1] Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (RGPD)
[2] Llei 34/2002, d’11 de juliol de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE)
Imatge Pixabay

“Segueixes navegant” amb les cookies?

per

El passat 31/10/2020 es va acabar el termini que la Agència Espanyola de Protecció de Dades (AEPD) havia donat per adaptar-se a les noves Directrius del Comitè Europeu de Protecció de Dades que afectaven a la regulació que, fins el moment, existia sobre les cookies.

Concretament, les directrius giren en torn a dos qüestions principals:

  • La validesa de l’opció “Seguir navegant” com forma de prestar el consentiment per part dels usuaris.
  • Sobre la possibilitat de limitar l’accés a determinats serveis o continguts només als usuaris que acceptin l’ús de cookies. El que es coneix a la indústria com “mur de cookies”.

D’aquesta qüestió ja ens hem ocupat anteriorment (Cookies again … i Cookies s’ha acabat el temps). L’AEPD va publicar el juliol la “Guia sobre l’ús de les cookies” que ofereix orientacions més que obligacions. Les obligacions, que sí imposa la normativa, són el principi de transparència en la informació i la lliure prestació del consentiment amb una clara afirmació positiva. Per tant, l’opció de “seguir navegant” i els “murs de cookies” ja no són vàlides des del passat dia 31.

De totes formes, la qüestió no és pacífica. El passat 1 d’octubre, l’autoritat francesa de protecció de dades (CNIL) va publicar unes directrius que possibilita instal·lar cookies sense demanar el consentiment sempre que es compleixin determinats requisits.

D’altre banda, l’interès legítim que s’està fent servir a Espanya per molts avisos de cookies és una pràctica que, ja el passat setembre, el Comitè Europeu de Protecció de Dades va dir que no podia fer-se servir com fonament jurídic apropiat per a la instal·lació de cookies.

Mentrestant, la nostra recomanació és la d’adaptar-se per complir amb les obligacions certes que tenim en aquest moment: seguir navegant i els murs de cookies no són una opció. I hem d’actuar sota el principi de transparència de la informació (explicar a l’usuari quines cookies volem instal·lar i perquè les volem fer servir)  i el de lliure prestació del consentiment (fer servir únicament cookies tècniques i permetre a l’usuari fer una clara afirmació positiva respecte a la resta).

Així, a més de complir, transmetrem confiança als nostres usuaris. El que, al final, és, junt a evitar sancions, el que més ens interessa.

Nota: Tot això que hem dit és vàlid també per a les apps que es fan servir en tablets i mòbils.

Imatge Pixabay

L’AEPD publica els resultats del seu pla d’auditoria sobre la contractació de serveis a distància en els sectors de telecomunicacions i energia

per

La Agencia Española de Protección de Datos (AEPD) ha publicado un ‘Plan de inspección de oficio sobre contratación a distancia en operadores de telecomunicaciones y comercializadores de energía’ en el que analiza los tratamientos de datos en estos sectores y su adecuación a la normativa de protección de datos desde la perspectiva de la acreditación de la identidad del contratante y de los servicios contratados. 

Llegir  més

L’AEPD publica una guia per facilitar l’aplicació pràctica de la protecció de dades per defecte

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guia de Protecció de Dades per defecte (PDpD), que ofereix una visió pràctica per ajudar a aplicar aquest principi als tractaments de dades seguint el que estableix el Reglament General de Protecció de dades (RGPD) i en les directrius adoptades pel Comitè Europeu de Protecció de dades.

Llegir més

Cookies: s’ha acabat el temps!

per

Com dèiem el passat juliol (veure post), l ’Agència Espanyola de Protecció de Dades (AEPD), va donar un termini per implementar els nous criteris pel que fa a les cookies (petites informacions que ens envien els llocs web per, entre altres, donar-nos servei i rastrejar la nostra activitat a Internet). Aquest termini s’acaba demà 31/10/2020).

Com és natural, aquest seguiment que permeten les cookies té moltes implicacions en matèria de protecció de dades. A tots ens ha passat anar a veure unes sabates a un botiga online i, a partir d’aquell moment, els anuncis de sabates ens perseguiran per tota la web, vagis on vagis. I aquesta és una de les funcions més innòcues de les cookies. Estem immersos, cada dia més, en una economia de les dades. I nosaltres som això: dades. Dades de comportament, de preferències, d’hàbits, etc. I quan naveguem anem deixant un rastre que és una mina per les empreses que tracten dades i, en general, per totes que les aprofiten. Google o Facebook són els paradigmes més coneguts però hi ha milers d’altres.

Estan així les coses, el Comitè Europeu de Protecció de Dades (CEPD) el maig passat va modificar les Directrius sobre la prestació del consentiment per part de l’usuari en matèria de cookies. Les noves directrius es basen en la interpretació dels principis de transparència en la informació i la lliure prestació del consentiment del usuari.

En aquest sentit, les modificacions principals van ser:

  • És necessària una clara afirmació afirmativa per part de l’usuari. L’opció “seguir navegant” ja no és vàlida. No es podrà activar cap cookie (excepte les tècniques) si no hi ha acceptació expressa.
  • No es podran fer servir els “murs de cookies” que condicionen l’accés de l’usuari a l’acceptació de cookies, tret que se l’informi i ofereixi una alternativa.
  • L’usuari ha de poder acceptar o no les cookies, de manera senzilla i de forma granular. Per exemple, agrupades per finalitat (analítiques, publicitàries, etc.)
  • Si s’inclouen cookies de tercers, cal detallar com s’oferirà la informació, l’obtenció del consentiment i els mitjans per revocar-lo.

I per acabar, dos coses: els titulars de les pàgines web que no s’hagin adaptat a les noves exigències s’exposen a ser sancionades amb multes fins a 30.000 € per incompliment lleu de la Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE).

I, dos, sense perjudici que, en la mesura que la instal·lació de cookies afecti al tractament de dades personals dels usuaris, el RGPD contempla sancions que poden ser força altes per les infraccions més greus.

“Influencer”: aquí tens el teu Codi!

per
Influencer

El proper 1 de gener de 2021 entrarà en vigor el Codi de Conducta sobre l’Ús de Influencers en la Publicitat, recollint un conjunt de regles que vincularan als anunciants adherits a AEA (Associació Espanyola d’Anunciants), a AUTOCONTROL, així com a qualsevol altre anunciant del sector i a Influencers que voluntàriament s’adhereixin al mateix.

Els influencers són , qui ho pot negar, un actor de creixent importància en el sector de la difusió publicitària en la, cada cop més tecnològica i comunicada, societat actual. I, com sigui que la regulació va sempre per darrera de les possibilitats que ens ofereix la tecnologia –internet sobretot–, la publicació del Codi és una bona noticia per al sector i per a tota la societat.

Fins ara, la línia entre la publicitat legal i la publicitat il·lícita era molt fina i sovint es traspassava, fins i tot per desconeixement, provocant una inseguretat jurídica en el sector i una conducta inapropiada envers els consumidors. El Codi ve a perfilar l’ús dels Influencers en la publicitat, introduint novetats interessants a l’hora de fer servir persones influents a les xarxes socials per promocionar tot tipus de productes i serveis. Tot amb l’objectiu d’acabar amb pràctiques prohibides per la nostra legislació com la publicitat encoberta.

L’objectiu del Codi és que els continguts digitals o mencions realitzades per els Influencers que tinguin naturalesa publicitària siguin clarament identificables per els usuaris que els segueixen. Així es recomana[i] que les mencions o els continguts publicitaris divulgats siguin:

  • Explícits i clars, fent servir indicacions com “Publicitat”, “Patrocinat per”, Regal de (marca), …
  • També quan es comparteix, la indicació s’ha de mantenir o afegir-se quan es comparteix o “reposteja” el contingut a altres plataformes.
  • Adequades al medi i al missatge, per escrit o verbal segons les circumstàncies
  • Visibles, directament visible, sense necessitat d’accions per part del usuari. Preferiblement al inici del missatge, de forma que es percebin clarament.

Lo important és que els seguidors han de saber que el missatge que reben és publicitat.

I les empreses i els Influencers disposen de poc més de dos mesos per adaptar-se a la nova regulació. A partir de l’any que ve, veurem el grau de compliment que assolim en la reducció de la publicitat encoberta en les xarxes i altres mitjans digitals.

[i] Aquí podeu trobar la infografia publicada al respecte.

Imatge freepik

Revisió Texts legals web