El diable està en el detall

En un món on les promocions i sortejos són moneda corrent, la dita anglosaxona “El diable està en el detall” cobra un significat especial.

Aquesta història gira al voltant d’un consumidor la il·lusió del qual per guanyar una bicicleta elèctrica es converteix en una muntanya russa emocional. És un relat que destaca la importància que pot tenir la lletra petita o la falta d’ella, la reacció empresarial davant errors i els drets dels consumidors. Acompanyem-nos en aquest viatge d’expectatives, frustracions i solucions, on un simple correu pot tenir el poder de canviar-ho tot.

Els fets

Era un dia qualsevol quan el nostre protagonista, entusiasmat per la idea d’una mobilitat més sostenible, va decidir comprar un producte participant en una promoció. L’atractiu principal era el producte en si però també l’oportunitat d’entrar en el sorteig d’una bicicleta elèctrica. Amb els ulls brillants d’il·lusió i un tiquet de compra de tan sols 4,45€ en mà, s’imaginava ja recorrent els carrers de la ciutat en la seva nova bicicleta.

No obstant això, en obrir el paquet, el seu entusiasme es va esvair com un miracle. La promoció havia caducat. I aquest detall no s’advertia en l’embolcall. Aquell petit detall, no indicar –per error– la data fi de la promoció, va transformar la seva mínima inversió en un desencadenant de frustració desproporcionada. El que semblava una simple compra es va convertir en un símbol d’esperances truncades i promeses no complertes. La decepció era palpable, i amb ella creixia un sentiment de greuge. Aquest consumidor, amb el seu tiquet d’escàs valor en mà, estava a punt d’embarcar-se en una odissea de drets i reclamacions, subratllant com fins i tot la compra més petita pot desatendre una crisi inesperada.

Primera resposta de l’empresa, fregant la catàstrofe

La resposta inicial de l’empresa davant la queixa del nostre consumidor va ser un clar exemple de com no manejar una situació delicada. En lloc d’oferir una solució concreta o mostrar empatia genuïna, l’empresa va recórrer a un repertori de frases fetes i paraules buides. “Valorem els nostres clients”, “Lamentem les molèsties ocasionades”, eren frases que ressonaven sense substància. Aquesta aproximació genèrica i despersonalitzada només va servir per augmentar la frustració del consumidor, qui se sentia encara més desvaloritzat i ignorat.

La situació estava a punt de desembocar en una crisi de relacions públiques. El que va començar com una petita decepció per un tiquet de 4,45€ estava escalant a un descontentament palpable, posant de manifest la importància d’una comunicació acurada i considerada en el món empresarial.

Segona resposta de l’ empresa i la solució

Després del descontentament inicial, l’empresa va prendre un rumb diferent en la seva segona resposta. Aquesta vegada, van reconèixer el seu error i van adoptar un enfocament més humà i comprensiu. Es van comprometre a retornar els 4,45€ del tiquet i, en un gest de bona voluntat, van oferir enviar un petit obsequi al consumidor com a disculpa per les molèsties causades. Aquest canvi d’actitud va marcar un punt d’inflexió en l’experiència del client.

El reconeixement de l’ error i l’ oferta de compensació van transformar la situació. El que havia començat com una història de frustració i decepció va començar a prendre un matís de resolució i satisfacció. Aquest gest, tot i que petit, va demostrar que l’empresa estava disposada a escoltar i valorar els seus clients, restablint així la confiança perduda. La reacció del consumidor va ser positiva; tot i que encara decebut per no participar en el sorteig, apreciava l’esforç de l’empresa per esmenar el seu error.

Drets dels consumidors sota la Llei espanyola

Aquest incident ressalta la crucial importància del compliment de la llei en les pràctiques comercials, més enllà de les estratègies de màrqueting. Sota la legislació espanyola, els consumidors tenen drets que les empreses han de respectar. Això inclou la veracitat en la publicitat i l’ obligació d’ informar clarament sobre les condicions de les promocions. El cas del nostre consumidor i la bicicleta elèctrica no és només una qüestió de decepció; és un recordatori que les lleis estan dissenyades per protegir el consumidor de pràctiques enganyoses o confuses (encara que sigui per error, com en aquest cas), assegurant així una relació equitativa i transparent entre consumidors i empreses.

El poder d’un bon correu en la resolució de crisi

La crisi sorgida per la promoció caducada subratlla una veritat universal: les persones detesten sentir-se enganyades, fins i tot si és per error, i exigeixen que les seves queixes siguin ateses adequadament. En aquest cas, el poder d’un correu ben redactat va ser crucial. Una comunicació directa, que reconeix l’ error i ofereix una solució concreta, pot transformar una situació adversa en una oportunitat per enfortir la relació amb el client. Aquest enfocament demostra respecte i comprensió cap al consumidor, elements essencials per restaurar la confiança i prevenir danys majors a la reputació de l’ empresa. I així va ser en aquest cas.

Conclusió

L’odissea del nostre consumidor culmina amb una nota de reconciliació i obertura cap al futur. Malgrat la inicial decepció i frustració, la resposta final de l’empresa va aconseguir suavitzar les tensions i obrir un camí cap a la restauració de la confiança. El consumidor, reconeixent l’ esforç i la transparència mostrada, no descarta la possibilitat de futures interaccions amb l’ empresa. Aquest desenllaç ressalta una lliçó valuosa: els errors ocorren, però la forma en què una empresa els maneja pot convertir un client insatisfet en un lleial. Al final, com sol succeir, el diable estava en els detalls, però també ho va estar l’oportunitat de redempció i creixement.

I com sempre, confieu en la resolució dels conflictes per la via amistosa i cuideu-vos!

Google Chrome? No tan incògnit …

Google Chrome és, amb diferència, el cercador més utilitzat per els usuaris que naveguen per Internet. Molt per davant d’Edge, Safari i els altres. A més, el servei el proporciona una gran companyia -gran en tots els sentits- que fa que tinguem la percepció de que és un bon producte, mereixedor de tota la nostra confiança. Doncs bé, això no hauria de ser ben bé així, per la nostra seguretat i privacitat.

Chrome, com altres navegadors, disposa d’un mètode de navegació que denomina “incògnit”.  La RAE, en la segona accepció, defineix incògnit com “situació d’un personatge públic que actua com persona privada”.  Es a dir, persona que vol passar per desconeguda en el seu viatge virtual, en aquest cas, a la xarxa. I, sobretot, sentir-se segur i protegit.

Què es el mode incògnit?

En aquest mode, el navegador elimina les dades locals de la sessió de navegació a Internet. Vol dir que es bloquegen les cookies, no es registre l’historial de navegació i qualsevol altre rastrejador, arxiu temporal o barra d’eines de tercer es desactivarà. I això deixa moltes dades a les que el mode incògnit no afecta per res.

És tan “incògnit”?

Doncs no o al menys no ho és prou. Si inicies sessió en un lloc web, aquest t’identificarà i podrà seguir les teves activitats. No evitarà que els llocs que visites, el teu centre educatiu, la teva empresa o el teu proveïdor de servei de Internet puguin veure la teva activitat i ubicació. I tampoc evitarà que els llocs web que visites publiquin anuncis basats en la teva activitat durant una sessió d’incògnit.

El missatge que destapa l’assumpte

Com sempre, el diable està en els detalls. La cap de màrqueting de Goggle, Lorraine Twohill, va enviar un correu a Sundar Pichai (CEO de Google) advertint-li que els clients estaven confosos respecte el funcionament del mode incògnit i. “Fes que el mode incògnit sigui realment privat” va escriure. Twohill ho va enviar després de que varis usuaris presentessin una demanda col·lectiva multimilionària per suposa seguiment dels usuaris mentre feien servir aquest mode.

Fins i tot els empleats van avisar

La cosa ve de lluny. Ja el 2018, un empleat va compartir un informe que demostrava que els usuaris no entenen realment com funciona i no saben que no protegeix la seva privacitat com ells es penses.  Per aquest empleat, “cal deixar de anomenar-lo incògnit i de fer servir un icona amb un espia” perquè porta a equivoc sobre les seves característiques.  

Recopila les nostres dades per mostrar publicitat

Google no se’n amaga i ho explica en un enllaç però ningú ho llegeix. Us resulta familiar no llegir las informacions addicionals o el termes i condicions d’ús de les apps? Doncs això. Aquest enllaç de “Més informació” està ben visible a la pàgina inicial i explica què no fa el mode d’incògnit.

En resum

Al final, “business is business” i si fos realment d’incògnit, Google no faria negoci amb les nostres dades que ven als anunciants. Per part nostra, el podem fer servir, com diu Google, per qüestions innocents com comprar un regal per un familiar que comparteix ordinador o per si salta el banner de cookies, com fem els professionals de la privacitat. For d’això, més val que feu servir DuckDuckGo per tenir una mica més de privacitat. I queda pendent per un altre dia parlar de Tor.

Com sempre, cuideu-vos!

Coses que no pots fer quan vols contractar persones

Ja hem parlat altres vegades del que es pot fer i com, i del que no es pot fer quan vols contractar a una persona per l’empresa. Hi ha unes regles del joc que, quan no es segueixen, donen pas a conseqüències no desitjades, com és el cas que avui ens ocupa.

Podem resumir l’assumpte explicant que una advocada va optar a una vacant en una empresa a través d’un portal d’ocupació. Poc després la candidata va esbrinar que l’empresa havia fet indagacions sobre ella consultant sense autorització un fitxer de morosos i va presentar una reclamació davant l’Agència Espanyola de Protecció de Dades (AEPD) que ha procedit a sancionar a l’empresa.

Segons el procediment sancionador de l’Agència, l’empresa Alquiler Seguro, SA oferia, a través de InfoJobs una plaça d’advocada. La reclamant es va inscriure en la esmentada oferta. I l’empresa, abans de trucar-la, va fer prèviament una consulta a Asnef  (Associació Nacional d’Establiments Financers de Crèdit) per conèixer la seva situació. Al no figurar en el registre, a continuació la van trucar.

Setmanes més tard, arrel d’unes gestions que l’advocada va fer amb Asnef, li van remetre un històric de consultes en la que, per sorpresa de la reclamant, apareixia la consulta de Alquier Seguro SA. Considera l’advocada que estem davant d’un accés al fitxer per una finalitat diferent de la prevista. L’empresa ho ha fet en el marc d’un procés de selecció de personal i no per valorar la seva solvència de cara a una futura relació comercial.

L’AEPD imputa a la part reclamada la comissió d’una infracció per vulneració de l’Article 6.1 del RGPD, per falta de legitimació en el tractament ja que, al seu entendre l’actuació de l’empresa no s’ajusta a cap dels supòsits que preveu la norma. L’empresa, per la seva part, va al·legar, entre altres, que aquesta situació podia haver-se donat per un error humà perquè a l’hora d’introduir el DNI de la candidata a “Asnef empresas” o va fer a “Servicio Bureau Crédito”.

Finalment, l’Agència imposa una sanció de 70.000€ que, amb el reconeixement de la responsabilitat manifestat en termini i la reducció per pagament voluntari de la sanció, queda en 42.000€. No és un import petit. Aprofitem per recordar que el reconeixement de la responsabilitat que dona peu a la reducció, fa que a efectes pràctics acabi amb la via contenciosa de reclamació.

En resum, l’empresa va fer un tractament de dades no legitimat perquè no comptava amb el consentiment (o un altre base legitimadora) per fer-ho. I això, segons la LOPDGDD, és una infracció molt greu. La contractació de persones a les empreses tenen que seguir, com amb tot, unes regles de joc. En el post citat al començament se’n recullen les principals.

Com sempre, cuideu-vos!

Si no pagues els serveis amb diners, ho fas amb les teves dades!

Això no és nou. Des de fa temps sabem que tot allò que ens donen “gratuïtament” ho estem pagant amb les nostres dades personals. Ens baixem una app per fer, posem per cas, de brúixola i ens demanen consentiment per accedir a les nostres dades, als contactes, a la nostre ubicació, a les fotografies i els vídeos i a un llarg etc. de dades.  

Tenint en compte que en el nostre telèfon tenim de mitja unes dos-centes aplicacions instal·lades, ja ens podem anar fent una idea de l’escampada de dades que hi ha.

Però tampoc cal que sigui una app, ni tan sols que la transacció es faci a Internet. Les targetes de pagament com VISA o les de fidelització de qualsevol comerç, acumulen al llarg del temps una gran quantitat de dades que permeten fer perfils molts acurats dels individus.

Què mengem, quants som a casa, de quines edats, estatus econòmic, dificultats per arribar a final de mes, quines són les nostres preferències en alimentació, viatges, música i tantes altres coses. I tot a canvi de miserables punts o algun descompte de tant en tant.

Fins aquí tot el que sabíem però ara, CaixaBank, ens ha obert encara més els ulls. I de manera francament desagradable, per dir-ho suaument. Perquè l’Agència Espanyola de Protecció de Dades l’ha sancionat amb 2.100.000€ per condicionar la prestació del consentiment als seus clients. Una multa de 2.000.000€ per condicionar l’obtenció del consentiment a l’exempció de comissions bancàries. I, una segona, perquè en el formulari de consentiment les caselles estaven premarcades. Pràctica molt habitual (també passa amb les cookies) que, en aquest cas, ha estat sancionada amb 100.000€.

Sí, heu llegit bé. Segons l’AEPD, el banc condicionava l’exempció de comissions a l’atorgament del consentiment per part del client per rebre comunicacions comercials i per cedir les seves dades a les entitats del Grup Bankia. El Reglament Europeu, diu clarament que “el consentiment quedarà invalidat per qualsevol influencia o pressió inadequada exercida sobre l’interessat que impedeixi que aquest exerceixi la seva lliure voluntat”. L’Agència valora com agreujant el gran número de clients, prop d’un milió, que havien prestat el consentiment per rebre publicitat i cedir les dades a Bankia.

La segona multa es deu q la inobservança del requisit d’obtenir el consentiment d’una manera lliure, específica, informada i inequívoca, incomplint el RGPD per quant “el silenci, les caselles premarcades o la inacció no han de constituir consentiment”. Aquesta invalidesa comporta una falta de legitimació que infringeix l’article 6.1 RGPD.

Aquestes notícies creen neguit en la societat, més si venen d’una institució que molts considerem senyera. D’una empresa de referència com aquesta i per la naturalesa del seu negoci, s’espera que, a més complir la normativa vigent, apliquin els més alts estàndards ètics en el tracte als seus clients. La sanció econòmica no tindrà més transcendència però la reputació del Banc se’n veurà afectada.  

Com diu el xef José Andrés, “lo important és que ens cuidem els uns als altres”. Podem començar perquè les empreses ens cuidin. I, no descuidem, vigilar nosaltres mateixos!

UE – EEUU, llum al final del túnel?

Pocs dies enrere, va saltar la noticia que la UE i els EEUU havien arribat a un acord per transferir, entre els dos espais, dades personals, garantint-ne la privacitat. La transferència de dades estava suspesa des del passat 2020, quan el Tribunal de Justícia de la Unió Europea (TJUE) va anul·lar l’acord anomenat “Privacy Shield” al considerar que els EEUU no oferien suficients garanties per la privacitat dels ciutadans europeus.

Aquest anunci del President Biden s’ha de prendre, com sempre, amb molta cautela, per varies raons. Primer, perquè per el que sembla, estem davant d’una declaració d’intencions. Segon, perquè, de ser així, hi ha molta feina per endavant i no és una qüestió que es resoldrà en unes setmanes. I, tercer, perquè, o molt ens equivoquem però costa creure que Max Schrems (l’activista que va impulsar les demandes que van donar origen a l’anul·lació) es conformi sense presentar batalla.

Ja n’hem parlat de la qüestió en diverses ocasions (1,2,3,4) però fem un resum de com hem arribat fins aquí.

Tot i que el RGPD preveu altres mecanismes per blindar la privacitat de les dades en les transferències internacionals (per exemple, les SCC –Standard Contractual Clauses– o les BCR –Binding Corporate Rules) és evident que un acord marc d’adhesió per part de les empreses americanes com el Privacy Shield facilitava molt les coses, a tots dos costats de l’Atlàntic. Les empreses americanes només tenien que adherir-se amb un auto-certificat a els principis establerts per el Departament de Comerç dels EEUU. I les empreses, a més de complir amb les seves obligacions, només tenien que assegurar-se que l’empresa que tractava les dades estava en la llista. Aquest plantejament va saltar per els aires el juliol del 2020 amb l’esmentada sentencia.

I que suposa que l’Escut de Privacitat no estigui en vigor? Doncs que anem cap a dos anys d’incompliment continuat. Google, Facebook, Mailchimp i totes les empreses americanes que donen servei a empreses europees estan en fals. I les empreses europees estan, directament, incomplint perquè transfereixen dades sense garanties. De vegades de forma molt grollera com pot ser el cas de Mailchimp i d’altres, de forma més subtil com pot ser fent servir Google Analytics.             

I que diu el comunicat que pretén resoldre la situació?

Doncs literalment diu que “Avui hem aconseguit un acord sense precedents sobre la protecció de la privadesa de les dades i la seguretat dels nostres ciutadans”. L’acord “permetrà el flux de dades entre la UE i els EUA de forma predictible, fiable, equilibrant la seguretat, els drets a la privadesa i la protecció de dades”, va assegurar Von der Leyen. I, segons Biden, que es reprengui el flux de dades tindrà un impacte positiu estimat en uns 6.500 milions d’euros.

Interessos econòmics versus privacitat. I, està clar, al final hem d’aconseguir el millor d’ambdós aspectes: permetre el la transferència de dades sense perjudicar a les empreses i la seva economia però mantenint la privacitat que emana del RGPD. Per aquesta és la garantia de la prosperitat per les economies occidentals.

Com sempre, vigileu les vostres dades i cuideu-vos!

Indústria publicitària: com afectarà el nou RD sobre publicitat d’aliments i begudes per a menors?

Aquesta setmana, el Ministeri de Consum ha presentat l’esborrany del Reial Decret que regularà l’emissió de publicitat d’aliments i begudes per a menors de 16  anys. El document, que estarà en tràmit d’audiència i informació pública fins el proper 29 de març, té com objectiu “garantir la protecció dels drets a la salut i el desenvolupament integral de la infància”.

Dos són els grans objectius del Reial Decret:

1) Definir un marc regulatori mínim per la protecció de la salut de la infància i l’adolescència.

2) Promocionar acords de corregulació i codis de conducta en l’àmbit de les comunicacions comercials sotmeses a la norma.

A fi de justificar el Reial Decret, el Ministeri fa una llarga exposició de motius, incloent nombroses referencies a estudis de l’Organització Mundial de la Salut (OMS), de l’Autoritat Europea de Seguretat Alimentària (EFSA) i altres de caràcter nacional com el que assegura que a España, quatre de cada deu escolars entre 6 i 9 anys pateixen excés de pes, A més l’obesitat i el sobrepès afecta especialment a sectors vulnerables de la població.

La norma limita i redueix l’exposició del públic infantil i adolescent a la publicitat dels aliments i begudes considerats poc saludables. I va dirigida als menors de 16 anys amb accés a contingut publicitari a través de mitjans com televisió, premsa i revistes infantils, pàgines web o xarxes socials.

I quines són les principals restriccions i prohibicions? Per el que afecta a la indústria publicitària, destaquem:

  • Evitar l’ús de elements de fantasia com dibuixos animats.
  • No presentar els aliments i les begudes en quantitats excessives.
  • Prohibir comunicacions que suggereixin que la compra aportarà èxit social, popularitat o qualitats especials de qui apareix en els anuncis.
  • Prohibir comunicacions comercials que incitin als menors a demanar als familiars que els hi comprin el producte anunciat.

El RD també inclou prohibicions específiques de fer publicitat en 5 categories de productes:

  • Xocolata i productes de confiteria, barretes energètiques, cobertures de dolços i postres
  • Pastissos, galetes dolces i brioxeria i altres productes de pastisseria
  • Sucs
  • Begudes energètiques i
  • Gelats

Respecte els productes no afectats de forma específica, es podran publicitar sempre que no excedeixin determinades quantitats de sodi, sucre, edulcorants, greixos totals i saturats per cada 100 gr. de producte.

També s’inclouen prohibicions específiques pel que fa a les comunicacions comercials com que apareguin “mares o pares, educadors, docents, professionals de programes infantils, esportistes, artistes, influencers, persones o personatges de rellevància, notorietat pública o proximitat amb el públic infantil, sigui reals o de ficció, que per la seva trajectòria siguin susceptibles de constituir un model o exemple per les persones menors d’edat”.

També es prohibeix fer promocions dirigides al públic infantil que publicitin aliments que no respectin els límits mencionats.

Destacar, per últim, les restriccions sobre la publicitat a Internet dels productes limitats o prohibits. En els serveis d’intercanvi de vídeos a través de plataformes o xarxes social, només es permetrà en plataformes que disposin de mecanismes eficaços per evitar que les comunicacions es dirigeixin al públic infantil i permetin el bloqueig d’anuncis emergents per part dels usuaris. La publicitat  en pàgines web i aplicacions també queda supeditada a que disposin de mecanismes similars.

Per últim, el règim sancionador remet a la Llei 17/2011, de 5 de juliol, sobre Seguretat Alimentària que preveu sancions fins a 600.000€ per les infraccions més greus en la matèria.

Caldrà seguir l’evolució del text legal durant l’exposició pública i veure com queda la norma definitiva. Però, prenem nota i comencem a preveure els possibles escenaris que es poden plantejar i a pensar en alternatives. La previsió és sempre bona consellera.

Com sempre, Cuideu-vos!

Ets europeu? Doncs la guerra d’Ucraïna no és l’única amenaça

La setmana passada recollíem el conflicte de Google amb la legislació de protecció de dades de la UE. De fet, el Supervisor Europeu acabava, res menys, de sancionar al Parlament Europeu per infringir el RGPD al utilitzar, precisament, Google Analytics. Podeu llegir el post aquí.

I ara toca, no podia faltar l’inefable Mark Zuckerberg. Amenaça amb tancar Facebook i Instagram a Europa. L’advertència s’enquadra en la guerra que Meta, la matriu de Facebook, Instagram y Whatsapp, té amb les lleis europees de protecció de dades.

El problema té la mateixa arrel que amb Google Analytics, MailChimp i una llarga llista d’empreses americanes que no compleixen amb la legislació europea. Tot ve de la sentència  que va anul·lar l’acord denominat Privacy Shield entre la UE i els EEUU el passat estiu del 2020. I ja ho vam explicar en el seu dia (‘Efecte Brussel·les’: cop de puny de la UE sobre la taula). I la UE està disposada a fer valer el Dret de la Unió.

I per si això no ha quedat clar, la UE donar dos passes definitives en el sentit regulador: la recent Llei de Serveis Digitals (DSA) que ha aprovat el Parlament Europeo (que encara no entrarà en vigor fins que es negociï amb la Comissió i el Consell Europeu) n’és una i, l’altre, la Llei de Mercats Digitals.

Respecta a la primera, i en paraules del comissari de competència de la UE, “És hora de posar ordre en el salvatge oest digital. Hi ha un nou sheriff a la ciutat, que es diu DSA”. EL resum de la Llei seria que el que és il·legal a la vida real, hauria de ser-ho online. La Llei es centra en crear un entorn digital més segur per els usuaris i les empreses digitals, a través de la protecció dels drets fonamentals en línia. La Llei aborda, entre altres, el comerç i intercanvi de béns, serveis i continguts il·legals en línia i, molt important, els sistemes algorítmics que amplien la propagació de la desinformació.

I respecte a la segona, complementària de la primera, pretén igualar les condicions per a totes les empreses digitals, independentment de la seva mida. Fixa regles clares sobre el què les grans plataformes de Internet poden i no poden fer dins la UE. Busca promoure la innovació, el desenvolupament i la competitivitat, ajudant a les empreses més petites i a les noves empreses a competir amb les grans.

Com dèiem en el post, Europa és un mercat únic molt envejable, entre altres coses, per el seu gran poder adquisitiu. Serà suficient perquè els gegants tecnològics es sotmetin a les lleis europees? És lo de Facebook una fanfarronada per pressionar a les autoritats europees? Què farà Google amb Google Analytics?

Veurem el que passa en els propers mesos però, el que estar clar, és que la UE vol, i probablement se’n sortirà, marcar el pas. Wait and see.

Mentrestant, cuideu-vos!

Què en saps de Google Analytics?

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies  de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren  transferits al Estats Units sense suficient garanties de protecció.  El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes  Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!  

Publiques fotos dels teus treballadors a la web o a les xarxes socials?

Doncs cal anar en compte. L’AEPD ha sancionat a una empresa amb 9.000 euros per publicar a la seva web i xarxes socials fotos d’un treballador sense el seu consentiment.

Perquè publicar imatges d’un treballador sense permís és sancionable però no fer cas de les peticions per retirar-les encara més. Això és el que li ha passat a una empresa de formació que ha estat sancionada amb 9.000 € per tractar les dades del treballador sense consentiment (6.000 €) i no atendre les demandes per eliminar las imatges de les xarxes socials (Facebook i Instagram), uns altres 3.000 €. A més del cost reputacional, és clar. No és cap broma.

Així ho ha entès l’AEPD en la seva Resolució de Procediment Sancionador. L’empresa va publicar fotografies de la treballadora sense consentiment. I la treballadora va demanar a l’empresa, al menys en dos ocasions, que retiressin les fotografies en les que apareixia, sense que l’empresa atengués la seva petició. Després de intentar-ho una segona vegada, de nou sense èxit, la treballadora afectada va presentar una reclamació, el novembre de 2020, davant l’AEPD.

L’Agència va intentar posar-se, per diferents vies, en contacte amb l’empresa sense aconseguir-ho. Va quedar acreditat que l’empresa havia dut a terme un tractament de dades consistent en haver pujat les fotografies a la seva pàgina web i a les seves xarxes socials. No consta que l’exhibició de les imatges estigués emparada per cap base legitimadora del art. 6 RGPD (per exemple, el consentiment), quedant acreditada la comissió de la infracció.

Per agreujar-ho més si és possible, l’empresa no va atendre el dret de supressió de la interessada, emparat per l’article 17 RGPD, i no va excloure les dades personals del seu tractament. Segons aquest article “l’interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin”. I el responsable estarà obligat a suprimir sense tardar les dades personals quan, entre altres condicions, es doni la que recull l’apartat “d) les dades personals hagin estat tractades il·lícitament”.

Per graduar les sancions, l’Agència considera que els tractaments venen de lluny -des del 2017 al 2020-, la quantitat no és escassa i l’abast és important ja que figuren en dos xarxes socials i la pròpia web de l’empresa. Respecte a la infracció per no atendre el dret de supressió de l’article 17 RGPD, l’Agència relata que es va sol·licitar en dos ocasions, sense obtenir cap resposta, el que posa de manifest un manca de compliment en els deures que li corresponen a l’empresa.

Aprenguem la lliçó. No es poden publicar imatges dels treballadors sense el seu consentiment. Atenguem les peticions de supressió que ens facin. La manca de diligència és imperdonable. I un recordatori. Quan un treballador deixa l’empresa (acomiadat o per voluntat pròpia), recordem suprimir les imatges en les que apareix (web, xarxes, fulletons, anuncis, etc.). Tret, es clar, que no tinguem el seu consentiment exprés.

Com sempre, Cuideu-vos!

FanPages, compliment obligat del RGPD

Arran d’una consulta empresarial, fem aquest post per aclarir conceptes sobre la relació entre les FanPages i el RGPD. La resposta curta és que sí, les empreses que les fan servir han de complir amb la normativa de protecció de dades.

Començarem per explicar, per qui no ho sàpiga, què és una FanPage. Las fanpages són una funcionalitat que Facebook va introduir ja fa anys. És una pàgina creada especialment per ser un canal de comunicació amb fans dins de la xarxa social.

A diferència dels perfils, són espais que reuneixen a persones interessades sobre un assumpte, empresa, una causa o algun tret en comú sense la necessitat de l’aprovació d’amistat. És el fan qui tria si seguirà o no les actualitzacions d’una determinada pàgina.

Són canals de comunicació molt apreciats per les empreses perquè és una forma econòmica, ràpida, senzilla i quantificable de comunicar en temps real amb clients potencials. Una espècie de televisió o ràdio o diari però amb uns costos infinitament més econòmics.

Les preguntes que ens feia l’empresari eren bàsicament dos: estem obligats a complir amb el RGPD i, si és així, què hem de fer?

A efectes de la normativa de protecció de dades, aquestes pàgines funcionen com una pàgina web. Recullen dades personals dels usuaris i, per tant, s’ha d’aplicar la mateixa normativa, és a dir, proporcionar accés a l’Avís legal, a la Política de Privacitat i a la Política de Cookies de l’empresa. I naturalment que tota la documentació compleixi la normativa vigent. Si a més, com és freqüent, l’empresa instal·la el píxel de seguiment de Facebook, amb més motiu. Però del píxel ja en parlarem un altre dia.

Dit això i entenen que és una pàgina situada en una plataforma en la que l’empresa té molt poc marge de maniobra, convé establir qui és realment el responsable de les dades personals, l’empresa o Facebook. Doncs tots dos.

Una sentència de juny de 2018 del Tribunal de Justícia de la Unió Europea va resoldre que el concepte de responsable del tractament comprenia també a l’administrador d’un pàgina web allotjada en una xarxa social. Segons la sentència, tot i que Facebook tracta les dades personals mitjançant cookies sense informar a l’empresa, no és menys cert que FB posa a disposició de l’empresa estadístiques (anonimitzades) dels visitants i que l’empresa pot definir criteris a partir dels quals s’han d’elaborar les estadístiques i, fins i tot, designar les categories de persones les dades de les quals seran objecte d’explotació per part de FB. La sentència conclou que l’administrador de la pàgina ha de ser qualificat com responsable del tractament conjuntament amb FB.

Per tant hem de complir: informar de les dades i la seva finalitat, recollir el consentiment explícit per el tractament, demanar només les dades necessàries, no fer servir les dades per finalitat diferent a la demanada, no conservar les dades més temps del necessari, implementar mesures i organitzatives adequades, atendre les sol·licituds d’exercici dels drets dels usuari i crear la corresponent activitat en el Registre.

Com sempre, atents a tots els detalls de compliment. I si teniu dubtes, consulteu-nos.

I el més important, cuideu-vos!

Revisió Texts legals web