FanPages, compliment obligat del RGPD

Arran d’una consulta empresarial, fem aquest post per aclarir conceptes sobre la relació entre les FanPages i el RGPD. La resposta curta és que sí, les empreses que les fan servir han de complir amb la normativa de protecció de dades.

Començarem per explicar, per qui no ho sàpiga, què és una FanPage. Las fanpages són una funcionalitat que Facebook va introduir ja fa anys. És una pàgina creada especialment per ser un canal de comunicació amb fans dins de la xarxa social.

A diferència dels perfils, són espais que reuneixen a persones interessades sobre un assumpte, empresa, una causa o algun tret en comú sense la necessitat de l’aprovació d’amistat. És el fan qui tria si seguirà o no les actualitzacions d’una determinada pàgina.

Són canals de comunicació molt apreciats per les empreses perquè és una forma econòmica, ràpida, senzilla i quantificable de comunicar en temps real amb clients potencials. Una espècie de televisió o ràdio o diari però amb uns costos infinitament més econòmics.

Les preguntes que ens feia l’empresari eren bàsicament dos: estem obligats a complir amb el RGPD i, si és així, què hem de fer?

A efectes de la normativa de protecció de dades, aquestes pàgines funcionen com una pàgina web. Recullen dades personals dels usuaris i, per tant, s’ha d’aplicar la mateixa normativa, és a dir, proporcionar accés a l’Avís legal, a la Política de Privacitat i a la Política de Cookies de l’empresa. I naturalment que tota la documentació compleixi la normativa vigent. Si a més, com és freqüent, l’empresa instal·la el píxel de seguiment de Facebook, amb més motiu. Però del píxel ja en parlarem un altre dia.

Dit això i entenen que és una pàgina situada en una plataforma en la que l’empresa té molt poc marge de maniobra, convé establir qui és realment el responsable de les dades personals, l’empresa o Facebook. Doncs tots dos.

Una sentència de juny de 2018 del Tribunal de Justícia de la Unió Europea va resoldre que el concepte de responsable del tractament comprenia també a l’administrador d’un pàgina web allotjada en una xarxa social. Segons la sentència, tot i que Facebook tracta les dades personals mitjançant cookies sense informar a l’empresa, no és menys cert que FB posa a disposició de l’empresa estadístiques (anonimitzades) dels visitants i que l’empresa pot definir criteris a partir dels quals s’han d’elaborar les estadístiques i, fins i tot, designar les categories de persones les dades de les quals seran objecte d’explotació per part de FB. La sentència conclou que l’administrador de la pàgina ha de ser qualificat com responsable del tractament conjuntament amb FB.

Per tant hem de complir: informar de les dades i la seva finalitat, recollir el consentiment explícit per el tractament, demanar només les dades necessàries, no fer servir les dades per finalitat diferent a la demanada, no conservar les dades més temps del necessari, implementar mesures i organitzatives adequades, atendre les sol·licituds d’exercici dels drets dels usuari i crear la corresponent activitat en el Registre.

Com sempre, atents a tots els detalls de compliment. I si teniu dubtes, consulteu-nos.

I el més important, cuideu-vos!

Competència deslleial, compte que vénen corbes!

Poc a poc, sense pressa però sense pausa, la legislació es va posant a to pel que fa a Internet. Davant de nous reptes, el legislador, tot i que amb retard, va ajustant el dret a les conductes que necessiten regulació. I aquest és el cas amb el nou Reial Decret-Llei 24/2021 que, entre altres coses, introdueix noves mesures per prohibir la publicitat encoberta en xarxes socials i evitar les  ressenyes falses en els béns o serveis en la venda a través de Internet.

El Decret, que transposa diverses directives de la Unió Europea, modifica tant la Llei General per la Defensa dels Consumidors i Usuaris com la Llei 3/1991, de 10 de gener, de Competència Deslleial. Les modificacions entraran en vigor el 28 de maig de 2022, a excepció de l’apartat setzè de l’article 82 relatiu a les dades personals del consumidor o usuari, l’entrada en vigor del qual està prevista per a l’1 de gener de 2022.

Pel que fa a la primera, defensa de consumidors i usuaris, s’afegeixen dos nous apartats a l’article 20, relatiu a la Informació necessària en l’oferta comercial de béns i serveis. El primer fa referència a nous requisits de transparència en els motors de recerca ja que serà obligat facilitar els criteris que s’han tingut en compte per posicionar els resultats i la seva rellevància. La informació ha de mostrar-se junt als propis resultats.

El segon es refereix a les ressenyes i indica que s’haurà de informar al consumidor si es garanteix que han estat fetes per compradors validats del producte i cal explicar com es processen.

Quan a les modificacions en la Llei de Competència Deslleial es reforma l’article 26 que fa referència a les Pràctiques comercials encobertes. A partir d’ara ho seran aquelles que no especifiquin que es tracta  d’un contingut publicitari les  informacions destinades a promocionar un producte o servei pagant l’empresari o el professional encarregat de la promoció. I en l’article següent, s’afegeixen com pràctiques enganyoses afegir ressenyes de consumidors i usuaris sense garantir que són reals o contractar a tercers per incloure valoracions de consumidors falses amb la finalitat de promocionar productes o serveis.

En definitiva, més mesures de seguretat per augmentar la protecció del consumidor a Internet. Moltes vegades, per presses o perquè prenem decisions veient la informació en el mòbil, els consumidors i usuaris estan desemparats i s’equivoquen amb conseqüències imprevisibles. I a les empreses i als professionals de la promoció enviar-los el missatge de que, a banda de complir amb la legislació vigent, convé que vagin desestimant pràctiques que contradiuen la bona fe imprescindible per el tràfic comercial pròsper.

Com sempre, ¡Cuideu-vos!

Registre de Jornada i Dades biomètriques, una relació difícil

El tractament de dades biomètriques sempre comporta una dificultat afegida com és la de realitzar l’obligatòria Avaluació d’Impacte (AIPD). La identificació biomètrica implica el tractament de categories especials de dades per a les quals el Reglament requereix garanties reforçades. Les identificacions més comunes d’aquest tipus són la facial i l’empremta digital. D’aquesta última i de les conseqüències de fer-ho malament en parlem en aquest post.

I és que l’AEPD acaba de sancionar a una empresa per implantar indegudament un registre de jornada laboral mitjançant l’empremta digital. En la resolució s’imputa a la reclamada que, al tractar-se de dades de categoria especial i existint l’obligació  de fer una Avaluació d’Impacte, va incomplir l’article 35 RGPD. Aquest article diu que quan sigui probable que el tractament, en especial si es fan servir noves tecnologies, pot comportar un alt risc per els drets i llibertats de les persones físiques, el responsable realitzarà, abans del tractament, una Avaluació d’Impacte de les operacions de tractament en la protecció de dades personals.

En la Resolució, l’AEPD considera que l’empresa tractava dades de categoria especial, dades biomètriques, però l’empresa insisteix en que la tecnologia emprada és la de verificació / autenticació biomètrica que no entra en la categoria especial de dades i, en conseqüència, no exigiria la realització d’AIPD. Les dades d’identificació biomètrica que permeten identificar de manera unívoca a una persona física serien les que obligarien a realitzar l’Avaluació, com és el cas que ens ocupa.

També senyala la Resolució que existeixen mitjans menys intrusius per mantenir aquest tipus de registres i que la tecnologia emprada no superava el necessari judici de proporcionalitat que es tenia que haver fet i que hi ha sistemes alternatius com, per exemple, targetes identificatives.

Des del punt de vista laboral, l’Agència considera que les empreses no haurien d’emparar-se en el consentiment com base legitimadora del tractament, tret que es tracti de casos excepcionals. I això perquè no es parteix d’una posició d’equilibri entre les parts perquè en la relació laboral hi ha una relació de subordinació. El consentiment només pot ser vàlid si l’interessat pot realment triar i no existeix  un element de compulsió, pressió o incapacitat per exercir la lliure voluntat. A més, ha de ser possible retirar-lo en qualsevol moment, sense cost ni desavantatge per l’interessat, i s’han d’oferir alternatives. Per últim, els interessats tenen dret a la supressió de les dades quan el consentiment s’ha retirat.

Com a conclusió, val dir que la tecnologia de reconeixement biomètric és molt invasiva, que cal distingir entre identificació biomètrica (requereix AIPD) i autenticació biomètrica, menys intrusiva, i que hi ha sistemes més proporcionats per portar el control de la jornada horària dels treballadors. I tenir tot això en compte perquè la multa ha estat de 20.000€.

Com sempre, cuideu-vos!

Octubre: Mes Europeu de la Ciberseguretat (2021)

A punt de deixar enrere el proclamat Mes Europeu de la Ciberseguretat (2021), aprofitem per fer algunes consideracions respecte un tema que, tot i les evidències que tenim dia a dia, no acaba d’arrelar en la consciència dels usuaris, de les empreses ni fins i tot de l’Administració Pública.

El lema de la campanya d’enguany és “Abans de fer clic, pensa”. És un eslògan simple però, precisament per això, fàcil de recordar i carregat de sentit. La seguretat comença per no fer clic sense saber que pot tenir conseqüències. A partir d’aquí, hem de ser conscients que la seguretat comença per un mateix.

“Els ciberatacs posen en risc els nostres negocis, les nostres infraestructures crítiques, les nostres dades i el funcionament  de les nostres democràcies”, assegura el Vicepresident europeu per la Promoció del nostre Mode de Vida Europeu.

Estem abocats, cada cop mes, a viure en un món digital (un altre dia parlarem dels “metaversos”, entorns on interactuarem social i econòmicament com icones, a través d’un suport lògic en un ciberespai; al pas que anem, les pel·lícules de ciència ficció que hem vist fins ara es quedaran molt curtes en les seves expectatives) i els ciberdelinqüents aprofiten qualsevol vulnerabilitat del nostre entorn digital per aprofitar-se’n.  

Segons l’últim informe de l’asseguradora HISCOX, la proporció de víctimes d’un ciberatac va augmentar del 38% al 43%; una de cada sis empreses víctimes d’un ciberatac diuen que la seva supervivència està amenaçada; els pressupostos de TIC dedicat a la seguretat ciber ha pujat un 63% i que el ransomware s’ha convertit en una cosa freqüent: més del 50% de les empreses afectades van pagar un rescat.

La pandèmia ha fet augmentar els riscos exponencialment. El teletreball, dut a terme de forma precària obligats per les circumstàncies, ha suposat l’exposició de vulnerabilitats de les empreses. Falta de protocols, de cultura de  la ciberseguretat i de recursos TIC han portat al límit a molts autònoms, empreses i, fins i tot, a l’Administració Pública (recordem l’atac al SEPE del març passat que es va repetir el juny).

I encara hem de ser més cautelosos que mai amb el telèfon mòbil donat que ja són la principal via d’entrada de ciberatacs corporatius a Espanya (aproximadament el 41% del total dels produïts en el 2021).

Els atacs són de diversa naturalesa: des del clàssic virus informàtic fins al cada cop més present ransomware, passant per comprometre el mail corporatiu, atacs DDoS i pèrdues de dades. I el phishing continua sent l’estrella.

A Espanya, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) i is4k (Internet Segura for KIDS) són els principals recursos públics en matèria de ciberseguretat. A Catalunya, a més, disposem de l’Agència de Ciberseguretat de Catalunya.

Com sempre, i ara més que mai, cuideu-vos!

Facebook? Quina sorpresa!

Frances Haugen, de 37 anys, que treballava com a responsable de producte a l’equip d’integritat cívica de Facebook, va ser entrevistada diumenge per CBS. Va dir que els documents que va filtrar demostraven que Facebook prioritzava repetidament el “creixement per sobre de la seguretat”. Facebook va dir que les filtracions eren enganyoses i que havien passat per alt les investigacions positives realitzades per la companyia.

Com diu el titular, quina sorpresa! Ja fa molts anys que FB és font de controvèrsies per les seves pràctiques que es poden qualificar, com a poc, de fosques o de delictuoses directament. Recordem el famós escàndol de Cambridge Analytica amb l’ús d’informació de milions d’usuaris sense el seu consentiment per comercialitzar-los il·legalment amb tercers. Des de tractar a les personalitats de manera diferent segons biaixos interessats fins a ser acusat de donar una resposta “feble” a les preocupacions dels seus treballadors sobre el tràfic de persones, passant per afrontar demandes dels seus propis accionistes o fer-se autopublicitat a través dels feeds de notícies dels usuaris per millorar la seva imatge, tot són exemples de mala praxis com poc. Whatsapp, compartint informació dels usuaris amb FB, i Instagram acusada per les adolescents de fer-les sentir malament amb el seu cos, tampoc se’n lliuren.

I, mentrestant, el penúltim ensurt l’hem patit aquesta mateixa setmana amb la caiguda simultània de tota la xarxa de FB (a més de FB, van caure Whatsapp, Instagram, Messenger i Oculus) i la interrupció dels serveis que ha afectat a milions d’usuaris. Fins i tot a treballadors de FB que no es podien comunicar entre ells i que van tenir que fer servir eines alternatives de la competència. Estar clar que  això deu ser una qüestió del karma. No hi pot haver-hi un altre.

I deia penúltim ensurt perquè, i no ha acabat la setmana, ahir es publicaven informacions que asseguren que estan a la venda dades personals de més de 1.500 milions d’usuaris de FB en fòrums de hackers. Si la noticia es confirma, sempre convé ser cautelós amb aquest tipus d’informació, definitivament, aquesta no és la setmana de Marck Zuckerberg.

A propòsit de tot això, podem fer un parell de reflexions sobre la marxa. La primera, obvia, és que el model de negoci de FB necessita regular-se. Sembla evident que l’autoregulació per part de les big-tech (no parlem sols de FB) no funciona. Aquestes companyies han experimentat, en vint anys, uns creixement exponencials que els hi ha proporcionat uns poders i una influència (sobre usuaris, empreses i, fins i tot, governs) extraordinaris, sustentats amb uns rendiments econòmics fabulosos. No havia estat mai a l’abast de ningú poder dirigir-se simultània i instantàniament a milers de milions d’habitants amb qualsevol missatge sense cap trava. I, a més, poder fer amb les dades personals, literalment, el que els hi interessi en cada moment. No és fàcil però convé que posem peu a paret lo abans possible.

La segona reflexió, també obvia, és que, en aquest estat de la qüestió i a tall individual, hem de posar els nostres mitjans per preservar la nostra privacitat. Conductes adequades, protocols, eines i tot allò que estigui al nostre abast ho hem de posar en marxa per el nostre compte.

Com sempre, cuideu-vos!

Videovigilància, acomiadament i protecció de dades

En una recent sentència, el Tribunal Suprem ha admès que un acomiadament es provi amb un vídeo que vulnera la protecció de dades. El Suprem  afirma que la gravació pot ser admissible en un procediment laboral encara que en un altre procediment s’estableixi que atenta contra la normativa de privacitat. Aquesta diferenciació té importants conseqüències, com veurem a continuació.

El cas es va donar quan una empresa de seguretat va acomiadar a un guàrdia de seguretat per transgressió de la bona fe contractual, frau, abús de confiança i deslleialtat al no dur a terme les tasques encomanades (revisió de vehicles a l’entrada del recinte) per l’empresa i firmar i lliurar els registres diaris com que efectivament s’havien fet.

Segons la resolució coneguda dies enrere,  el que és rellevant és que el treballador coneixia la existència del sistema de videovigilància i que la gravació és vàlida com a prova, sense perjudici que l’empresa pugui tenir altres responsabilitats en l’àmbit de la normativa de protecció de dades. En conseqüència, el Suprem obliga a repetir el judici en el que les imatges no van ser admeses com a prova.

La Sala de lo Social del Suprem recorda que l’article 89.1 de la Llei Orgànica 3/2018, de 5 de desembre de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) estableix que, en el supòsit de comissió flagrant d’un acte il·lícit per part del treballador, i seguint la sentència del TEDH coneguda com López Ribalda II, s’entendrà complert el deure d’informar quan existeixi un dispositiu informatiu amb dades pertinents i clarament visible. No és obligat especificar “la finalitat exacte que s’ha assignat al control en qüestió”.

A l’empresari, però, és a qui li correspon aportar les proves necessàries per demostrar la veracitat dels fets imputats a la carta d’acomiadament. En aquesta línia, el Suprem afegeix que, d’acord amb l’article 24.2 de la Constitució, l’empresari té dret a utilitzar “els mitjans de prova pertinents per a la seva defensa”.

Diu també la sentencia que el fet que les càmeres fossin de Ifema i no de Securitas pot ser rellevant des del punt de vista de la protecció de dades però no ha de portar a impedir que Securitas aporti en un judici laboral unes gravacions que poden ser necessàries per satisfer la càrrega de la prova que sobre ella recau.

En aquest cas, el Suprem entén que la prova era “una mesura justificada, idònia, necessària i proporcionada al fi perseguit” satisfent així les exigències de proporcionalitat que imposen la jurisprudència del constitucional i el TEDH.

Per tot l’exposat, el Suprem admet el recurs de cassació plantejat per l’empresa i torna l’assumpte al jutjat de lo Social que va resoldre en primera instància, manant que celebri un nou judici admetent les gravacions com a prova.

Aquesta resolució obre una porta interessant quan assegura que “el nostre examen s’ha de cenyir a si la prova s’havia d’admetre o no, sense que hagi d’estendre’s a si es van complir tots els requeriments de la legislació de protecció de dades, tant des de la perspectiva de la relació de l’empresa amb el treballador acomiadat, com de la relació entre Securitas i Ifema”.

Com sempre, cuideu-vos!

És obligatori contestar a les demandes d’ocupació?

Estem en unes circumstàncies econòmiques que fa que les demandes d’ocupació siguin força elevades. Les empreses reben un número creixent de currículums, molts d’ells no sol·licitats, que s’han de gestionar, entre altres, des del punt de vista de la Protecció de Dades. Arrel d’una resolució de l’AEPD, avui ens ocupem d’un d’ells: l’obligatorietat de l’empresa d’informar sobre què farà amb el CV.

Fins ara, no respondre als candidats que s’inscriuen a una oferta de treball ni informar-lo del tractament que tindran les seves dades personals és un pràctica habitual en les empreses per diferents raons: falta de protocols, de informació, desinterès o, simplement, saturació de feina.

Però aquesta situació pot canviar radicalment perquè l’Agència Espanyola de Protecció de Dades (AEPD) acaba de sancionar a una empresa amb 2.000€ de multa per no identificar de forma apropiada al responsable del tractament, ni comunicar al candidat la possibilitat d’exercir els seus drets davant el responsable del tractament  ni la destinació que s’anava a donar a les seves dades. A més, l’entitat reclamada no disposa de Delegat de Protecció de Dades (DPD).

El tràmit es va efectuar per WhatsApp, la qual cosa en posa en alerta perquè quan obrim un canal de comunicació nou, com pot ser un sistema de missatgeria front al convencional correu electrònic, hem de ser curosos e implantar un protocol a l’empresa que tingui en compte les particularitats i especificacions del canal per evitar sorpreses posteriors. En el present cas, el candidat va contactar per telèfon i va remetre el CV per WhatsApp, sense rebre justificant de recepció.

El candidat va remetre a l’AEPD les captures de pantalla amb els missatges intercanviats per WhatsApp, en les que no apareix cap informació relativa al tractament de les dades. L’empresa reclamada no va procedir a presentar al·legacions ni proves en el termini d’audiència per la qual cosa l’Agència va continuar amb el procediment.

L’AEPD considera que s’ha infringit l’article 13 del RGPD que fa referència a la informació sobre el tractament que s’ha de facilitar als interessats quan les dades personals provenen d’ell mateix, així com la resta de informació necessària per garantir un tractament de dades lleial i transparent.

 Un altre dia parlarem de la resta d’obligacions que tenim envers els candidats com la manera i el temps de conservació dels currículums i dels protocols que l’empresa ha de tenir implantats per donar resposta a les candidatures. Però el que ens ha de quedar clar és que hem d’estar ben assessorats i complir amb les nostres obligacions. D’altre manera, podem ser sancionats i, els que és pitjor, patir una pèrdua reputacional que pot costar molt de recuperar. 

Mentrestant, cuideu-vos! 

Smishing?

INCIBE alertava ahir d’una nova amenaça de smishing, es a dir, SMS que suplanten la identitat per capturar les teves dades. L’entitat afectada en aquest cas és el BBVA. S’ha detectat una campanya d’enviament massiu de SMS fraudulents que, simulant provenir del BBVA, informen que el compte ha estat desactivat i demanen a l’empresari o treballador que premi sobre un enllaç per verificar la informació.

Naturalment, si segueixes l’enllaç et demanen les teves credencials d’accés al compte a fi de “verificar-les”. A partir d’aquí, tenim un problema.

Entre les moltes amenaces que ens envolten en l’àmbit de la Ciberseguretat, el smishing és pot ser del que menys se’n parla. I, curiosament, la mitja d’usuaris desconfia menys d’un SMS que, posem per cas, un correu electrònic que, com ja sabem a aquestes alçades, pot ser maliciós (phishing). I aquestes no són les úniques, ni molt menys. Recentment,  Microsoft alertava d’una nova estafa que fa servir arxius d’Excel maliciosos. Correus electrònics falsos, trucades que es fan des de centres il·legals i codi que inclou malware en els fulls d’Excel formen part de l’estratègia per dur a terme l’atac.

I les empreses, què han de fer per gestionar els incidents de seguretat?

La gestió d’incidents de seguretat és una tasca cabdal per poder minimitzar qualsevol amenaça que pugui vulnerar la seguretat de la nostra empresa. Convé aquí recordar que vulnerabilitat és una debilitat o fallo en un sistema de informació que pot permetre un atac. I amenaça és tota acció que aprofita una vulnerabilitat per atemptar contra la seguretat d’un sistema de informació. La nostra obligació, per tant, és conèixer les amenaces (qüestió externa) i evitar les vulnerabilitat (qüestió interna).

Quan parlem d’incidents de seguretat i la seva gestió, hem de considerar, com a mínim, les següents qüestions:

  • Definir una Política de gestió dels incidents que inclogui un pla de resposta.
  • Conèixer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conèixer els Passos per la gestió dels incidents, per oferir una resposta adequada i minimitzar els possibles efectes en l’organització
  • Aprendre sobre Mesures preventives addicionals que augmentin les nostres possibilitats d’èxit.
  • Preparar un Pla de contingència i continuïtat, assegurant una resposta ràpida i poder recuperar ràpidament l’activitat del negoci.

En temes de Ciberseguretat no podem baixar la guàrdia. Tant a nivell personal com professional i empresarial, té que ser una de les nostres prioritats. Tinguem present que un incident de seguretat pot arruïnar la nostra reputació i tots els nostres esforços.

Com sempre, cuideu-vos molt!

YouTube vs. Indústria Cultural Europea

El Tribunal de Justícia de la Unió Europea (TJUE) considera que YouTube no és responsable de les infraccions de “copyright” dels seus usuaris. La plataforma de vídeo, propietat de Google, només vulnera els drets d’autor en determinats casos, com, per exemple, si contribueix a promocionar al públic l’accés a continguts protegits.

Diu el Tribunal que la plataforma no és responsable dels continguts protegits per drets d’autor posats a disposició del públic per els usuaris. Només seria responsable si contribueix activament a proporcionar accés al públic a aquests continguts o no pren mesures actives per eliminar-los.

La batalla entre la Indústria Cultural Europea i les plataformes digitals ve de lluny. La disrupció tecnològica provocada en la Indústria audiovisual per aquests operadors (YouTube, Spotify, Instagram, Uploaded, …) obliga necessàriament a canviar les regles del joc, i, fins i tot, el joc mateix.

I diem que ve de lluny perquè el fallo dona resposta a dos demandes plantejades a Alemanya. La primera, interposada per un productor musical el 2008, al·legava que s’havien pujat a la plataforma diversos fonogrames sobre els que tenia la titularitat de diferents drets. La segona, interposada per Elsevier a l’empresa Cyando (de intercanvi d’arxius) el 2013, per posar diferents obres a disposició dels usuaris, sense autorització.

En la sentència examinada, el TJUE entén que “els operadors de plataformes en línia no fan per si mateixos una comunicació al públic dels continguts protegits per drets d’autor posats il·legalment en línia pel seus usuaris”. Això sí, aquesta exempció de responsabilitat només és aplicable en els casos que les plataformes no contribueixin a facilitar l’accés a aquests continguts que infringeixen els drets d’autor o que, un cop informades de la seva existència, no preguin mesures actives per eliminar-los. La sentència segueix el criteri de responsabilitat prevista en la Directiva sobre Comerç Electrònic que entén que no hi ha responsabilitat si el paper de la plataforma és neutre, automàtic i passiu.

La sentència no és el final, més aviat és el principi d’una llarga batalla de la que té que donar com a resultat un equilibri just entre les parts en conflicte (plataformes vs. Indústries).  S’ha de tenir en compte, a més, altres qüestions, com la que plantegen grups de drets civils preocupats per la possible censura de governs autoritaris i els riscos per la llibertat d’expressió amb propostes com la instal·lació de filtres a la plataformes per evitar que els usuaris pugin continguts amb drets d’autor (o altres que no interessin a determinats grups).

El tema no és baladí i cal seguir-lo amb atenció. Com sempre, ens hi juguem molt.

Cuideu-vos!

I les contrasenyes?

A propòsit d’una recent resolució de l’AEPD en la que apareix com indicador d’un ús no diligent de les seves claus per part d’un usuari, escrivim aquest post. El cas és que les claus van aparèixer en el lloc web haveibeenpwned.com. En la resolució s’al·lega que el reclamant és un exponent d’acreditada escassa diligència en la gestió i custòdia de les seves credencials.

Podríem traduir lliurement del anglès el terme “pawned” com “compromès”. El lloc web ofereix un servei gratuït perquè l’usuari pugui comprovar si la seva direcció de correu electrònic o contrasenyes apareixen en les seves llistes i, en conseqüència, si les seves claus han estat compromeses y convé canviar-les immediatament.

Perquè són importants les contrasenyes?

Accés a la gestió de la informació, utilització de serveis com la banca online o compres per internet són tres exemples quotidians en els que fer servir contrasenyes adequades resulta imprescindible.

Si poden suplantar la nostra identitat, poden tenir accés a la nostra informació confidencial (per exemple, l’emmagatzemada en el cloud amb documents, fotos y vídeos, etc.), entrar en el nostre compte bancari (amb conseqüències imprevisibles) o fer compres importants que haurem de pagar nosaltres.

Què hem de fer?

La majoria de consells que es poden donar són de sentit comú. Sobretot, d’allò que no s’ha de fer. Post-it en el monitor, sota el teclat, llibretes amb llista de claus, … són pràctiques que ja fa temps haurien d’estar desterrades.

En qualsevol cas, convé insistir.

  • No compartir la contrasenya amb ningú
  • Contrasenyes robustes (al menys 8 caràcters, majúscules, números, símbols, …
  • No fer servir la mateixa contrasenya en diferents serveis. Per exemple, la del banc i la de Facebook.
  • No entrar en un servei amb el compte de Google o FB. Si aquest es veu compromès, l’atacant tindrà accés a tots els serveis que depenen d’aquest compte. I de molts altres perquè, estigueu segurs, ho provaran amb tots.
  • Compte amb les preguntes de seguretat. Mira que només tu coneguis la resposta (i que no es pugui deduir de les teves xarxes socials: data de naixement, nom de la mascota, etc.)
  • Fer servir sempre que sigui possible el doble factor d’autenticació (2FA).
  • Utilitzar gestors de contrasenyes. Hi ha moltes opcions en el mercat a preus molt assequibles

Què passa si el nostre compte apareix a haveibeenpwned.com?

Doncs que òbviament estem en una situació compromesa i hem d’actuar immediatament.

Primer identificant els correus i contrasenyes que han estat exposats. A continuació, fent servir un gestor, generar contrasenyes fortes i diferents per tots els serveis compromesos, començant per els més crítics (primer el banc abans que el FB) i canviar-les totes.

Cuideu-vos!

Revisió Texts legals web