Ricard Castellet

Pandemia, Ciberseguridad y Protección de Datos

por

La pandemia ha acelerado muchos procesos digitales, tanto a nivel particular como profesional y empresarial. Teletrabajo, videoconferencias, nube, transformación digital, etc. ya eran tendencias antes del Covid pero ahora se han hecho casi imprescindibles. Y en el nuevo escenario, la Ciberseguridad ha saltado a la primera plana.

Nuevas maneras de trabajar y hacer negocios han tenido que adaptarse y hacer un salto cualitativo en el uso de las tecnologías para poder sobrevivir. Además, hemos sido testigos de un fenómeno inaudito cómo es que hemos podido hacer un experimento sociológico a nivel global que era impensable hace un año. Si en enero le digo a un cliente que, en vez de venir al despacho, haremos una videoconferencia, lo más probable es que me hubiera quedado sin cliente. Y ahora hemos aprendido todos, incluso la gente mayor, que la tecnología nos abre un abanico enorme de posibilidades y que nada volverá a ser igual. Y para mejor.

Pero, claro, todo anverso tiene un reverso. Y un ejemplo, no el único, es el de la Ciberseguridad. Según la encuesta anual Digital Trust Survey 2021 de PwC, la pandemia ha obligado a las empresas a dar un salto en las tecnologías digitales para, en muchos casos, cambiar o reinventar sus modelos de negocio. Y esto está provocando un aumento de las brechas de seguridad que se encuentran en determinados escenarios (por ejemplo, en el teletrabajo) más expuestos que nunca a los ciberataques. La falta de medios, de preparación y de cultura digital, entre otros, sitúan a las empresas en un escenario muy delicado, frente al que deben hacer inversiones en Ciberseguridad y minimizar riesgos.

Porque las consecuencias de sufrir un ciberataque pueden ser devastadoras. No poder acceder a la información por un ataque de ransomware o que los datos de los que somos custodios (por ejemplo, los datos personales de los que somos responsables) se vean expuestos tendrá consecuencias en términos económicos y, a buen seguro, en términos de reputación con un coste incalculable. La empresa, incluso, puede incurrir en responsabilidad penal, derivada del delito de daños informáticos (art. 264 Código Penal) y del de revelación de secretos (art. 197 y siguientes CP), sin contar la responsabilidad civil subsidiaria de la persona jurídica que recoge el artículo 120.4 CP.

En resumen, pasada el necesario arrebato inicial en la que las empresas estaban comprensiblemente luchando por su supervivencia, hay que establecer las bases de desarrollo del negocio haciendo las correspondientes inversiones en infraestructuras tecnológicas, en cumplimiento de las diferentes normativas y, sobre todo, en cultura digital en el entorno de las personas. Sólo así nos garantizaremos el futuro.

¡Cuidaos!

No, las casillas premarcadas no son consentimiento válido

por

Las casillas premarcadas no se pueden considerar una forma válida de consentimiento. El consentimiento requiere una acción positiva del usuario para tener validez. Y estamos viendo que muchas empresas han adaptado su política de cookies usando esta mala praxis.

Desde la entrada en vigor del RGPD, el consentimiento tácito fue una de las formas que quedaron invalidadas. Y aquí entran también las famosas casillas pre-marcadas que ahora vuelven a aparecer con las renovadas políticas de cookies que estamos viendo estos días.

Todo esto viene porque, además de constatar la situación sobre el terreno, el Tribunal de Justicia de la Unión Europea (TJUE) en una sentencia ha impuesto una multa a la empresa Orange Rumanía por haber celebrado contratos de prestación de servicios con una cláusula de consentimiento en que la casilla de consentimiento había sido marcada por el responsable del tratamiento de forma previa a la firma del contrato. La sentencia recuerda que el consentimiento del interesado tiene que ser libre, específico, informado e inequívoco. No se considera válido el silencio, las casillas premarcadas o la inacción.

Y todo lo que dice la sentencia también es válido para las cookies. Desde el pasado 31 de octubre la opción de “Seguir navegando” no está permitida y hay que ofrecer al usuario la posibilidad de configurar la gestión de las cookies. Y aquí está el problema porque, en más casos de los deseables, las casillas ya están marcadas. De este modo, el usuario tiene que desmarcarlas para que el servidor no instale cookies no deseadas. Pero si no va a la configuración, al pulsar el botón “Aceptar” estará dando el consentimiento sin saberlo y se instalarán todas las cookies. Las únicas cookies que se pueden instalar sin consentimiento del usuario son las de carácter técnico, es decir, las necesarias para establecer la comunicación entre el servidor y el navegador cliente. El resto, se tienen que instalar después del pertinente consentimiento, no antes, como sucede con frecuencia.

Imagen Pixabay

¿Me puedo fiar de tu web?

por

La página web de la empresa es nuestro escaparate, como si de una tienda se tratara. Es la primera impresión que se lleva nuestro cliente potencial. Y como decía Oscar Wilde, “Nunca hay una segunda oportunidad para causar una primera buena impresión”. Y la base para causar una buena impresión es que la web sea segura. Después ya podremos desarrollar los contenidos y adaptarla estéticamente.

Una web insegura es la peor impresión inicial que se puede llevar un visitante. Transmite una sensación entre la dejadez y la negligencia. Y, además, puede ser objeto de sanción, como es el caso de esta empresa a la que la AEPD ha impuesto una multa de 3.000€ por vulnerar tanto el Reglamento (RGPD[1]) como la Ley de Servicios de la Sociedad de la Información (LSSICE[2]). Y no estamos hablando de una multinacional sino de una SL como tantas hay en el mercado.

¿Cómo saber si la web es insegura?

Lo primero es comprobar si la web tiene instalado el certificado SSL que garantice el cifrado entre el navegador y la página. Tenemos que asegurarnos de que el protocolo de la página empieza por https:// o muestra un candado. Haciendo clic en el candado veremos si el certificado es válido y otros detalles. Otras cuestiones son disponer de un hosting que mantenga la web actualizada, usar formularios de contacto en vez de correos electrónicos y otros que serán objeto de un próximo post.

Porque, además de la parte técnica, nos tenemos que ocupar de la parte legal. Y esto pasa por poner a disposición del usuario, como mínimo, los siguientes textos legales:

  • Aviso legal
  • Banner de cookies
  • Política de cookies
  • Política de privacidad
  • Condiciones de contratación (si tenemos e-commerce)
  • Formulario de contacto (consentimiento positivo)

Todos ellos resultado de la adecuación de la empresa al RGPD y la LSSICE. Es decir, no vale poner solo los textos sin adecuar o, lo que es peor, copiar los textos de otra página web. Y hay que prestar atención, ahora mismo, a las cookies, tema del que ya hemos hablado en este post.

Tener una web segura y adecuada en materia de protección de datos nos permitirá evitar sanciones y transmitir confianza al visitante. El resto, contenido y estética, ya son harina de otro costal.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)
[2] Ley 34/2002, del 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE)
Imagen Pixabay

¿»Sigues navegando» con las cookies?

por

El pasado 31/10/2020 se acabó el plazo que la Agencia Española de Protección de Datos (AEPD) había dado para adaptarse a las nuevas Directrices del Comité Europeo de Protección de Datos que afectaban a la regulación que, hasta el momento, existía sobre las cookies.

Concretamente, las directrices giran en turno a dos cuestiones principales:

  • La validez de la opción “Seguir navegando” como forma de prestar el consentimiento por parte de los usuarios.
  • Sobre la posibilidad de limitar el acceso a determinados servicios o contenidos solo a los usuarios que acepten el uso de cookies. El que se conoce a la industria como “muro de cookies”.

De esta cuestión ya nos hemos ocupado anteriormente (Cookies again … y Cookies: ¡se acabó el tiempo!). La AEPD publicó en julio la “Guía sobre el uso de las cookies” que ofrece orientaciones más que obligaciones. Las obligaciones, que sí impone la normativa, son el principio de transparencia en la información y la libre prestación del consentimiento con una clara afirmación positiva. Por tanto, la opción de “seguir navegando” y los “muros de cookies” ya no son válidas desde el pasado 31 de octubre.

De todas formas, la cuestión no es pacífica. El pasado 1 de octubre, la autoridad francesa de protección de datos (CNIL) publicó unas directrices que posibilita instalar cookies sin pedir el consentimiento siempre que se cumplan determinados requisitos.

Por otro lado, el interés legítimo que se está usando en España por muchos avisos de cookies es una práctica que, ya el pasado septiembre, el Comité Europeo de Protección de Datos dijo que no podía usarse como cimiento jurídico apropiado para la instalación de cookies.

Mientras tanto, nuestra recomendación es la de adaptarse para cumplir con las obligaciones ciertas que tenemos en este momento: seguir navegando y los muros de cookies no son una opción. Y tenemos que actuar bajo el principio de transparencia de la información (explicar al usuario qué cookies queremos instalar y porque las queremos usar) y el de libre prestación del consentimiento (usar únicamente cookies técnicas y permitir al usuario hacer una clara afirmación positiva respecto al resto).

Así, además de cumplir, transmitiremos confianza a nuestros usuarios. Que es, junto a evitar sanciones, lo que más nos interesa.

Nota: Todo esto que hemos dicho es válido también para las apps que se usan en tablets y móviles.

Imagen Pixabay

La AEPD publica una guía para facilitar la aplicación práctica de la protección de datos por defecto

por

La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía de Protección de Datos por Defecto (PDpD), que ofrece una visión práctica para ayudar a aplicar este principio a los tratamientos de datos siguiendo lo establecido en el Reglamento General de Protección de Datos (RGPD) y en las directrices adoptadas por el Comité Europeo de Protección de Datos. 

Leer más

La AEPD publica los resultados de su plan de auditoría sobre la contratación de servicios a distancia en los sectores de telecomunicaciones y energía

por

La Agencia Española de Protección de Datos (AEPD) ha publicado un ‘Plan de inspección de oficio sobre contratación a distancia en operadores de telecomunicaciones y comercializadores de energía’ en el que analiza los tratamientos de datos en estos sectores y su adecuación a la normativa de protección de datos desde la perspectiva de la acreditación de la identidad del contratante y de los servicios contratados. 

Leer más

Cookies: ¡se acabó el tiempo!

por

Cómo decíamos el pasado julio (ver post), la Agencia Española de Protección de Datos (AEPD), dio un plazo para implementar los nuevos criterios en cuanto a las cookies (pequeñas informaciones que nos envían los sitios web para, entre otros, darnos servicio y rastrear nuestra actividad en Internet). Este plazo se acaba mañana 31/10/2020.

Cómo es natural, este seguimiento que permiten las cookies tiene muchas implicaciones en materia de protección de datos. A todos nos ha pasado ir a ver unos zapatos a un tienda online y, a partir de aquel momento, los anuncios de zapatos nos persiguen por toda la web, vayas donde vayas. Y esta es una de las funciones más inocuas de las cookies. Estamos inmersos, cada día más, en una economía de los datos. Y nosotros somos esto: datos. Datos de comportamiento, de preferencias, de hábitos, etc. Y cuando navegamos vamos dejando un rastro que es una mina para las empresas que tratan datos y, en general, para todas que los aprovechan. Google o Facebook son los paradigmas más conocidos pero hay otras miles.

El Comité Europeo de Protección de Datos (CEPD) el pasado mayo modificó las Directrices sobre la prestación del consentimiento por parte del usuario en materia de cookies. Las nuevas directrices se basan en la interpretación de los principios de transparencia en la información y la libre prestación del consentimiento del usuario.

En este sentido, las modificaciones principales fueron:

  • Es necesaria una clara afirmación afirmativa por parte del usuario. La opción “seguir navegando” ya no es válida. No se podrá activar ninguna cookie (excepto las técnicas) si no hay aceptación exprés.
  • No se podrán usar los “muros de cookies” que condicionan el acceso del usuario a la aceptación de cookies, salvo que se le informe y ofrezca una alternativa.
  • El usuario tiene que poder aceptar o no las cookies, de manera sencilla y de forma granular. Por ejemplo, agrupadas por finalidad (analíticas, publicitarias, etc.)
  • Si se incluyen cookies de terceros, hay que detallar como se ofrecerá la información, la obtención del consentimiento y los medios para revocarlo.

Y para acabar, dos cosas: los titulares de las páginas web que no se hayan adaptado a las nuevas exigencias se exponen a ser sancionados con multas de hasta 30.000 € por incumplimiento leve de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

Y dos, sin perjuicio de que, en la medida que la instalación de cookies afecte al tratamiento de datos personales de los usuarios, el RGPD contempla sanciones que pueden ser elevadas para las infracciones más graves.

«Influencer»: ¡aquí tienes tu Código!

por
Influencer

El próximo 1 de enero de 2021 entrará en vigor el Código de Conducta sobre el Uso de Influencers en la Publicidad, recogiendo un conjunto de reglas que vincularán a los anunciantes adheridos a la AEA (Asociación Española de Anunciantes), a AUTOCONTROL, así como a cualquier otro anunciante del sector y a Influencers que voluntariamente se adhieran al mismo.

Los influencers son , quién lo puede negar, un actor de creciente importancia en el sector de la difusión publicitaria en la, cada vez más tecnológica y comunicada, sociedad actual. Y, como sea que la regulación va siempre por detrás de las posibilidades que nos ofrece la tecnología –internet sobre todo–, la publicación del Código es una buena noticia para el sector y para toda la sociedad.

Hasta ahora, la línea entre la publicidad legal y la publicidad ilícita era muy delgada y a menudo se traspasaba, incluso por desconocimiento, provocando una inseguridad jurídica en el sector y una conducta inapropiada hacia los consumidores. El Código viene a perfilar la función de los Influencers en la publicidad, introduciendo novedades interesantes en el uso de personas influyentes en las redes sociales para promocionar todo tipo de productos y servicios. Todo con el objetivo de acabar con prácticas prohibidas por nuestra legislación como la publicidad encubierta.

El objetivo del Código es que los contenidos digitales o menciones realizadas por los Influencers que tengan naturaleza publicitaria sean claramente identificables por los usuarios que los siguen. Así se recomienda1 que las menciones o los contenidos publicitarios divulgados sean:

Explícitos y claros, usando indicaciones como “Publicidad”, “Patrocinado por”, Regalo de (marca), …
También cuando se comparte, la indicación se tiene que mantener o añadirse cuando se comparte o “repostea” el contenido a otras plataformas.
Adecuadas al medio y al mensaje, por escrito o verbal según las circunstancias
Visibles, directamente visible, sin necesidad de acciones por parte del usuario. Preferiblemente al inicio del mensaje, de forma que se perciban claramente.

Lo importante es que los seguidores tienen que saber que el mensaje que reciben es publicidad.

Y las empresas y los Influencers disponen de poco más de dos meses para adaptarse a la nueva regulación. A partir del año que viene, veremos el grado de cumplimiento que logramos en la reducción de la publicidad encubierta en las redes y otros medios digitales.

1Aquí podéis encontrar la infografía publicada al respecto.

Imagen freepik

Health Data Hub de Francia se trasladará a la infraestructura de nube europea para evitar transferencias de datos UE-EE. UU.

por

La Comissió Nacional d’Informàtica i Llibertats (CNIL) ha emès algunes recomanacions per als serveis francesos que tracten dades de salut. Aquests serveis han d’evitar l’ús d’empreses d’allotjament en el núvol que estiguin ubicades als Estats Units, com Microsoft Azure, Amazon Web Services i Google Cloud.

Més informació

Revisión Textos Legales Web