Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Multas AEPD: Sanción por 8 correos sin copia oculta

por

A principios de diciembre, la Agencia Española de Protección de Datos publicaba la resolución por la que se imponía a un despacho de abogados una sanción de 10.000 €. El motivo? Haber enviado un correo electrónico a ocho destinatarios, informando sobre el bloqueo de sus cuentas, sin utilizar la copia oculta.

EL RGPD establece en el artículo 5 los principios que deben regir el tratamiento de los datos personales y menciona entre ellos el de "integridad y confidencialidad". El artículo exige los datos "serán tratados de tal manera que se garantice una seguridad adecuada".

Asimismo, el artículo 32 del RGPD "Seguridad del tratamiento", establece una serie de medidas técnicas y organizativas que garantizan un nivel adecuado al riesgo que se ha definido. Entre ellas está la capacidad de garantizar la confidencialidad de los datos personales.

Entiende la Agencia que, de la documentación revisada, se desprendían indicios suficientes de que el despacho de abogados había vulnerado el artículo 32 RGPD porque se había producido una brecha de seguridad de sus sistemas. Por esta infracción, la AEPD considera que la sanción que correspondería sería de advertencia, instando al denunciado a que corrija los efectos de la infracción cometida y se adecue a las exigencias del artículo 32.

En cambio, por la infracción del artículo 5.1 f) del RGPD la sanción que corresponde es una multa por importe de 10.000 €. Y lo que es más importante, al ser una infracción del artículo 5 RGPD, la sanción podría llegar hasta los 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía. Una barbaridad!

En efecto, un disparate de sanción pero que pone de manifiesto la importancia que la protección de datos está adquiriendo cada día más. Convendréis conmigo que 10.000 € de multa por 8 correos es una sanción muy importante.

Y no es una sanción a una gran empresa sino a un modesto despacho de abogados. Es lo que se conoce como "aviso a navegantes". La protección de datos requiere que todos hagamos un esfuerzo para entender sus objetivos finales y pongamos las medidas necesarias para cumplir. Las reglas del juego están para seguirlas y esto no es una excepción.

Cuidaos!

Multas AEPD: ¿no hay dos sin tres?

por

El titular encaja perfectamente con la situación que estamos viviendo. Antes de ayer otra multa récord de la AEPD. Esta vez le ha tocado a CaixaBank, por un importe de 6 millones de euros, superando los 5 de BBVA de hace unos días.

A la sanción del BBVA nos referimos la semana pasada. Y todo lo que dijimos entonces es perfectamente aplicable al caso presente. En CaixaBank, como hicieron con BBVA, le han impuesto dos sanciones; una leve, de 2 millones de euros y una de grave, por un importe de 4 millones de euros.

La sanción leve corresponde a la vulneración de los artículos 13 y 14 del RGPD y la grave por saltarse el artículo 6 del Reglamento. Recordemos que el artículo 13 hace referencia a la información que se tendrá que facilitar cuando los datos personales se obtengan del interesado. Y que el 6 habla de la Licitud del tratamiento. Según la AEPD, CaixaBank incumple los requisitos establecidos para la prestación de un consentimiento válido, en tanto que manifestación de voluntad específica, inequívoca e informada tal como pide el RGPD. Incluso se menciona una cesión ilícita de datos personales a empresas del Grupo CaixaBank.

También, como en el caso del BBVA, la AEPD conmina a CaixaBank a que, en el plazo de 6 meses, adecue a la normativa las operaciones de tratamiento que realiza, la información que ofrece a sus clientes y los procedimientos que usa para recoger el consentimiento.

Dicho esto, algunas consideraciones sobre la marcha. De aquella multa a Facebook de 1,2 millones de euros el 2017 hemos pasado a las actuales. Parece que hay un salto cuantitativo muy importante. Y parece que a la Agencia no le tiembla el pulso, que ha perdido el miedo. Todavía estamos lejos de las multas de decenas de millones que están poniendo en Europa, pero estamos en camino.

Y lo que me parece muy relevante es que la AEPD obligue expresamente a las empresas a enmendar los procedimientos para adecuarlos a la normativa. Esto pone de manifiesto la voluntad de que las cosas se hagan bien hechas. Y estoy seguro de que estas modificaciones no serán nada sencillas dada la medida de las entidades afectadas.

¿Habrá una tercera sanción en esta línea? ¿Podría ser otro banco?

La resolución, de 177 páginas, habrá que leerla con atención. Pero sin duda, esto es un claro aviso a navegantes. Tendremos que estar atentos.

AEPD: Sanción récord y récord de sanciones

por

Aunque parezca que hace mucho tiempo, fue poco antes de Navidad cuando la AEPD impuso la sanción más alta de su historia: 5 millones de euros de multa al BBVA por vulnerar 3 artículos del RGPD. Y a esto hay que añadir que España es líder de la Unión Europea en sanciones a PYMES por incumplimientos del RGPD.

En realidad han sido dos infracciones. La primera, calificada de muy grave, de 3 millones de euros por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD), en cuanto a la fórmula para obtener el consentimiento de los clientes. La segunda, de carácter leve, por los datos obtenidos del interesado que suponen una vulneración de los artículos 13 y 14 del citado Reglamento.

Al mismo tiempo, la resolución impone una serie de medidas que obliga al BBVA a cambiar, en un plazo máximo de seis meses, su sistema de gestión de protección de datos en relación al deber de información y la obtención del consentimiento.

Sin querer entrar en más detalle de la resolución (puedes leerla íntegra aquí), si quiero aprovechar para hacer varias consideraciones.

Para empezar, el hecho más llamativo que supone el elevado importe de las sanciones. Parece que la AEPD, en línea con otras autoridades de control europeas, ha decidido imponer sanciones muy elevadas. Alguien puede decir que para una entidad como el BBVA se trata de una cantidad irrisoria. Pero no debemos olvidar que las sanciones pueden llegar hasta 20.000.000 de euros o el 4% de la facturación anual consolidada del grupo. Y parece que se ha puesto en marcha un camino más estricto.

Por otro lado, el daño reputacional para la entidad puede ser muy elevado. El eco mediático que ha tenido la noticia no ha pasado, estoy seguro, desapercibido para la sociedad, en general, y para los grupos de interés del banco (clientes, accionistas, etc.), en particular.

Y todo comenzó con un SMS publicitario enviado a un cliente que estaba dado de alta en Lista Robinson desde hacía tiempo. Fíjate tú quién lo iba a decir.

Y para completar el panorama sancionador, adelantaros que España lidera la UE en sanciones a PYMES. El número aún es modesto pero el incremento de multas del 2019 al 2020 ha sido del 252%. Pero de esto hablaremos en un próximo post en el que aportaremos datos de un estudio propio.

Conviene, en cualquier caso, que las empresas extremen sus precauciones.

¡Cuidaos!

Textos web, ¿legales o ilegales?

por

Todo el mundo habla, y estos días más que nunca, de los textos legales de la web. Entre el alboroto de las cookies y la normativa aplicable al comercio online, imprescindible en estas fechas, hay, por un lado, una cierta confusión en saber los textos que se necesitan y, por el otro, diferentes prácticas extendidas en el sector que comportan serios riesgos. Y estos riesgos son para los empresarios que encargan la página web pero también para los diseñadores web, los cuales, a menudo vemos que la privacidad o las condiciones de compra no son una preocupación prioritaria porque no es su responsabilidad.

Los textos legales web están sujetos a normativas diferentes. Además de los relativos a la Protección de Datos derivados del Reglamento General de Protección de Datos (RGPD) y la LOPD (como la Política de Privacidad), de los cuales hemos hablado en diferentes ocasiones (A parte de los textos legales de la web, ¿Qué más tengo que hacer? o ¿Me puedo fiar de tu web? ), están los que son consecuencia de la LSSICE (como el Aviso legal o la Política de Cookies). Y naturalmente los que se refieren a las Condiciones de compra cuando el site dispone de un e-commerce (Ley de ordenación del Comercio minorista y RDL de la Ley General por la Defensa de los Consumidores y Usuarios). Y de esto último hablamos hoy.

Ahora vienen las Fiestas de Navidad en las que las compras online se disparan. Todas las compras están sujetas a unas condicionas de contratación específicas por cada caso que necesariamente tienen que estar expuestas en el site web, a disposición de los usuarios. En consecuencia, todas las compras, como compraventa que son, están sujetas en estos contratos vinculantes entre las partes. Y afectan a actuaciones que pueden tener consecuencias graves como no avisar al consumidor del derecha a desistimiento[1] que lo asiste para devolver el producto comprado en los 14 días siguientes a la compra y con qué condiciones se tienen que hacer las devoluciones. Y si el empresario no ha cumplido con su deber de información y documentación, este periodo será de un año y 14 días. No es ninguna broma.

Por lo tanto, el empresario tiene que asesorarse debidamente con profesionales que garanticen el cumplimiento de las obligaciones legales en el mundo de Internet del mismo modo que lo hacen en el mundo físico. Porque si el empresario no lo hace, el diseñador web tampoco (al fin y al cabo no es su responsabilidad) y, además, el usuario no se lee los textos legales, estamos ante una situación de inseguridad jurídica extrema que, tarde o temprano tendrá consecuencias para el tráfico web, en especial para el comercio electrónico.

Hagamos, entre todos los profesionales, que tener textos legales en nuestra web sea la normalidad. Y, como usuarios, no signemos contratos sin leer ni entender las consecuencias.

[1] Real Decreto Legislativo 1/2007, de 16 de noviembre, por el cual se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

Pandemia, Ciberseguridad y Protección de Datos

por

La pandemia ha acelerado muchos procesos digitales, tanto a nivel particular como profesional y empresarial. Teletrabajo, videoconferencias, nube, transformación digital, etc. ya eran tendencias antes del Covid pero ahora se han hecho casi imprescindibles. Y en el nuevo escenario, la Ciberseguridad ha saltado a la primera plana.

Nuevas maneras de trabajar y hacer negocios han tenido que adaptarse y hacer un salto cualitativo en el uso de las tecnologías para poder sobrevivir. Además, hemos sido testigos de un fenómeno inaudito cómo es que hemos podido hacer un experimento sociológico a nivel global que era impensable hace un año. Si en enero le digo a un cliente que, en vez de venir al despacho, haremos una videoconferencia, lo más probable es que me hubiera quedado sin cliente. Y ahora hemos aprendido todos, incluso la gente mayor, que la tecnología nos abre un abanico enorme de posibilidades y que nada volverá a ser igual. Y para mejor.

Pero, claro, todo anverso tiene un reverso. Y un ejemplo, no el único, es el de la Ciberseguridad. Según la encuesta anual Digital Trust Survey 2021 de PwC, la pandemia ha obligado a las empresas a dar un salto en las tecnologías digitales para, en muchos casos, cambiar o reinventar sus modelos de negocio. Y esto está provocando un aumento de las brechas de seguridad que se encuentran en determinados escenarios (por ejemplo, en el teletrabajo) más expuestos que nunca a los ciberataques. La falta de medios, de preparación y de cultura digital, entre otros, sitúan a las empresas en un escenario muy delicado, frente al que deben hacer inversiones en Ciberseguridad y minimizar riesgos.

Porque las consecuencias de sufrir un ciberataque pueden ser devastadoras. No poder acceder a la información por un ataque de ransomware o que los datos de los que somos custodios (por ejemplo, los datos personales de los que somos responsables) se vean expuestos tendrá consecuencias en términos económicos y, a buen seguro, en términos de reputación con un coste incalculable. La empresa, incluso, puede incurrir en responsabilidad penal, derivada del delito de daños informáticos (art. 264 Código Penal) y del de revelación de secretos (art. 197 y siguientes CP), sin contar la responsabilidad civil subsidiaria de la persona jurídica que recoge el artículo 120.4 CP.

En resumen, pasada el necesario arrebato inicial en la que las empresas estaban comprensiblemente luchando por su supervivencia, hay que establecer las bases de desarrollo del negocio haciendo las correspondientes inversiones en infraestructuras tecnológicas, en cumplimiento de las diferentes normativas y, sobre todo, en cultura digital en el entorno de las personas. Sólo así nos garantizaremos el futuro.

¡Cuidaos!

No, las casillas premarcadas no son consentimiento válido

por

Las casillas premarcadas no se pueden considerar una forma válida de consentimiento. El consentimiento requiere una acción positiva del usuario para tener validez. Y estamos viendo que muchas empresas han adaptado su política de cookies usando esta mala praxis.

Desde la entrada en vigor del RGPD, el consentimiento tácito fue una de las formas que quedaron invalidadas. Y aquí entran también las famosas casillas pre-marcadas que ahora vuelven a aparecer con las renovadas políticas de cookies que estamos viendo estos días.

Todo esto viene porque, además de constatar la situación sobre el terreno, el Tribunal de Justicia de la Unión Europea (TJUE) en una sentencia ha impuesto una multa a la empresa Orange Rumanía por haber celebrado contratos de prestación de servicios con una cláusula de consentimiento en que la casilla de consentimiento había sido marcada por el responsable del tratamiento de forma previa a la firma del contrato. La sentencia recuerda que el consentimiento del interesado tiene que ser libre, específico, informado e inequívoco. No se considera válido el silencio, las casillas premarcadas o la inacción.

Y todo lo que dice la sentencia también es válido para las cookies. Desde el pasado 31 de octubre la opción de “Seguir navegando” no está permitida y hay que ofrecer al usuario la posibilidad de configurar la gestión de las cookies. Y aquí está el problema porque, en más casos de los deseables, las casillas ya están marcadas. De este modo, el usuario tiene que desmarcarlas para que el servidor no instale cookies no deseadas. Pero si no va a la configuración, al pulsar el botón “Aceptar” estará dando el consentimiento sin saberlo y se instalarán todas las cookies. Las únicas cookies que se pueden instalar sin consentimiento del usuario son las de carácter técnico, es decir, las necesarias para establecer la comunicación entre el servidor y el navegador cliente. El resto, se tienen que instalar después del pertinente consentimiento, no antes, como sucede con frecuencia.

Imagen Pixabay

¿Me puedo fiar de tu web?

por

La página web de la empresa es nuestro escaparate, como si de una tienda se tratara. Es la primera impresión que se lleva nuestro cliente potencial. Y como decía Oscar Wilde, “Nunca hay una segunda oportunidad para causar una primera buena impresión”. Y la base para causar una buena impresión es que la web sea segura. Después ya podremos desarrollar los contenidos y adaptarla estéticamente.

Una web insegura es la peor impresión inicial que se puede llevar un visitante. Transmite una sensación entre la dejadez y la negligencia. Y, además, puede ser objeto de sanción, como es el caso de esta empresa a la que la AEPD ha impuesto una multa de 3.000€ por vulnerar tanto el Reglamento (RGPD[1]) como la Ley de Servicios de la Sociedad de la Información (LSSICE[2]). Y no estamos hablando de una multinacional sino de una SL como tantas hay en el mercado.

¿Cómo saber si la web es insegura?

Lo primero es comprobar si la web tiene instalado el certificado SSL que garantice el cifrado entre el navegador y la página. Tenemos que asegurarnos de que el protocolo de la página empieza por https:// o muestra un candado. Haciendo clic en el candado veremos si el certificado es válido y otros detalles. Otras cuestiones son disponer de un hosting que mantenga la web actualizada, usar formularios de contacto en vez de correos electrónicos y otros que serán objeto de un próximo post.

Porque, además de la parte técnica, nos tenemos que ocupar de la parte legal. Y esto pasa por poner a disposición del usuario, como mínimo, los siguientes textos legales:

  • Aviso legal
  • Banner de cookies
  • Política de cookies
  • Política de privacidad
  • Condiciones de contratación (si tenemos e-commerce)
  • Formulario de contacto (consentimiento positivo)

Todos ellos resultado de la adecuación de la empresa al RGPD y la LSSICE. Es decir, no vale poner solo los textos sin adecuar o, lo que es peor, copiar los textos de otra página web. Y hay que prestar atención, ahora mismo, a las cookies, tema del que ya hemos hablado en este post.

Tener una web segura y adecuada en materia de protección de datos nos permitirá evitar sanciones y transmitir confianza al visitante. El resto, contenido y estética, ya son harina de otro costal.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)
[2] Ley 34/2002, del 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE)
Imagen Pixabay

Cookies: ¡se acabó el tiempo!

por

Cómo decíamos el pasado julio (ver post), la Agencia Española de Protección de Datos (AEPD), dio un plazo para implementar los nuevos criterios en cuanto a las cookies (pequeñas informaciones que nos envían los sitios web para, entre otros, darnos servicio y rastrear nuestra actividad en Internet). Este plazo se acaba mañana 31/10/2020.

Cómo es natural, este seguimiento que permiten las cookies tiene muchas implicaciones en materia de protección de datos. A todos nos ha pasado ir a ver unos zapatos a un tienda online y, a partir de aquel momento, los anuncios de zapatos nos persiguen por toda la web, vayas donde vayas. Y esta es una de las funciones más inocuas de las cookies. Estamos inmersos, cada día más, en una economía de los datos. Y nosotros somos esto: datos. Datos de comportamiento, de preferencias, de hábitos, etc. Y cuando navegamos vamos dejando un rastro que es una mina para las empresas que tratan datos y, en general, para todas que los aprovechan. Google o Facebook son los paradigmas más conocidos pero hay otras miles.

El Comité Europeo de Protección de Datos (CEPD) el pasado mayo modificó las Directrices sobre la prestación del consentimiento por parte del usuario en materia de cookies. Las nuevas directrices se basan en la interpretación de los principios de transparencia en la información y la libre prestación del consentimiento del usuario.

En este sentido, las modificaciones principales fueron:

  • Es necesaria una clara afirmación afirmativa por parte del usuario. La opción “seguir navegando” ya no es válida. No se podrá activar ninguna cookie (excepto las técnicas) si no hay aceptación exprés.
  • No se podrán usar los “muros de cookies” que condicionan el acceso del usuario a la aceptación de cookies, salvo que se le informe y ofrezca una alternativa.
  • El usuario tiene que poder aceptar o no las cookies, de manera sencilla y de forma granular. Por ejemplo, agrupadas por finalidad (analíticas, publicitarias, etc.)
  • Si se incluyen cookies de terceros, hay que detallar como se ofrecerá la información, la obtención del consentimiento y los medios para revocarlo.

Y para acabar, dos cosas: los titulares de las páginas web que no se hayan adaptado a las nuevas exigencias se exponen a ser sancionados con multas de hasta 30.000 € por incumplimiento leve de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

Y dos, sin perjuicio de que, en la medida que la instalación de cookies afecte al tratamiento de datos personales de los usuarios, el RGPD contempla sanciones que pueden ser elevadas para las infracciones más graves.

Así funciona la desconexión digital: ¡hasta 6.250€ de multa!

por

Según recoge el diario Cinco Días, el envío de emails fuera de la jornada de trabajo puede conllevar multas de hasta 6.250 €. Desde la Inspección de Trabajo ven los correos sancionables si la empresa no aclara que se deben responder en horario laboral.

Primero, hagamos memoria de qué es la Desconexión Digital. El derecho a la desconexión digital fuera del horario de trabajo se conceptúa como la limitación al uso de las tecnologías de la comunicación para garantizar el tiempo de descanso y vacaciones de los trabajadores. Y este Derecho viene recogido en el Título X de la Ley Orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD).

Durante la pandemia ha habido un considerable aumento del teletrabajo. Y lo hemos hecho sin estar preparados técnicamente, ni culturalmente, ni, por supuesto, laboralmente. Con videoconferencias a todas horas (sí, aquellas con camisa y pijama), el buzón lleno hasta arriba de correos con infinidad de adjuntos y todos preguntándonos cómo rellenar o firmar un pdf (y buscando a toda prisa una firma digital).

Y todo ello haciendo más horas que un reloj. La falta de preparación y de medios, un sumatorio de ineficiencias elevado al infinito, se compensaba en tiempo de dedicación laboral. Horarios extensos, fines de semana, fiestas, sacrificando el descanso, la familia, ... Lejos queda el tiempo en que el viernes al mediodía cerrabas el despacho hasta el lunes. Ahora el despacho y muchos trabajos (en especial en el sector servicios) están abiertos 24/7.

¿Por qué, quién no mira el correo fuera de horas de trabajo? O preferimos llegar lunes y encontrarnos la bandeja de entrada llena hasta arriba con temas que podíamos haber avanzado durante el fin de semana?

Desconexión digital para todos o no? La desconexión digital es, en mi opinión, imprescindible para todos. Y las empresas harán bien en cumplir la norma. Pero, más allá del cumplimiento, lo que necesitamos es aprender a utilizar las diferentes herramientas de comunicación e información para sobrevivir en la frenética sociedad de hoy. Entre todos tenemos que poner límites.

Mientras tanto, recordemos que si queremos enviar un correo a un trabajador, podemos hacerlo en cualquier momento pero, eso sí, cumpliendo con la normativa que, en este caso, exige indicar claramente que se debe responder en horario laboral. Y esto vale para llamadas, whatsapp y otras herramientas de comunicación. Y entender que, si es viernes tarde, no podemos pedir un informe para el lunes a primera hora. Tan simple como eso.

Imagen Pixabay

Revisión Textos Legales Web