Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

No, les caselles premarcades no són consentiment vàlid

per

Les caselles premarcades no es poden considerar una forma vàlida de consentiment. El consentiment requereix una acció positiva de l’usuari per tenir validesa. I estem veient que moltes empreses han adaptat la seva política de cookies fent servir aquesta mala praxis.

Des de l’entrada en vigor del RGPD, el consentiment tàcit va ser una de les formes que van quedar invalidades. I aquí entren també les famoses caselles premarcades que ara tornen a aparèixer amb les renovades polítiques de cookies que estem veient aquests dies.

Tot això ve perquè, a més de constatar la situació sobre el terreny, el Tribunal de Justícia de la Unió Europea (TJUE) en una sentencia ha imposat una multa a l’empresa Orange Romania per haver celebrat contractes de prestació de serveis amb una clàusula de consentiment en que la casella de consentiment havia estat marcada per el responsable del tractament de forma prèvia a la firma del contracte. La sentencia recorda que el consentiment de l’interessat ha de ser lliure, específic, informat i inequívoc. No es considera vàlid el silenci, les caselles premarcades o la inacció.

I tot el que diu la sentència també és vàlid per a les cookies. Des del passat 31 d’octubre l’opció de “Seguir navegant” no està permesa i cal oferir a l’usuari la possibilitat de configurar la gestió de les cookies. I aquí està el problema perquè, en més casos dels desitjables, les caselles ja estan marcades. D’aquesta manera, l’usuari té que desmarcar-les per a que el servidor no instal·li cookies no desitjades. Però si no va a la configuració, al prémer el botó “Acceptar” estarà donant el consentiment sense saber-ho i s’instal·laran totes les cookies. Les úniques cookies que es poden instal·lar sense consentiment de l’usuari són les de caràcter tècnic, es a dir, les necessàries per establir la comunicació entre el servidor i el navegador client. Tota la resta, s’han d’instal·lar després del pertinent consentiment, no abans com succeeix amb més freqüència de la desitjada.

Imatge Pixabay

Em puc refiar de la teva web?

per

La pàgina web de l’empresa és el nostre aparador, com si d’una botiga es tractés. És la primera impressió que se’n porta el nostre client potencial. I com deia Oscar Wilde, “Mai hi ha una segona oportunitat per causar una primera bona impressió”. I la base per causar una bona impressió és que la web sigui segura. Després ja podrem desenvolupar els continguts i adaptar-la estèticament.

Una web insegura és la pitjor impressió inicial que es pot emportar un visitant. Transmet una sensació entre la deixadesa i la negligència. I, a més, pot ser objecte de sanció, com és el cas d’aquesta empresa a la que l’AEPD ha imposat una multa de 3.000€ per vulnerar tant el Reglament (RGPD[1]) com la Llei de Serveis de la Societat de la Informació (LSSICE[2]). I no estem parlant d’una multinacional sinó d’una SL com hi ha tantes en el mercat.

Com saber si la web és insegura?

Lo primer és comprovar si la web té instal·lat el certificat SSL que garanteixi el xifrat entre el navegador i la pàgina. Hem d’assegurar-nos que el protocol de la pàgina comença per https:// o mostra un cadenat. Fent clic en el cadenat veurem si el certificat és vàlid i altres detalls. Altres qüestions són disposar d’un hosting que mantingui la web actualitzada, fer servir formularis de contacte en comptes de correus electrònics i altres que seran objecte d’un proper post.

Perquè, a més de la part tècnica, ens hem d’ocupar de la part legal. I això passa per posar a disposició de l’usuari, com a mínim, els següents texts legals:

  • Avís legal
  • Banner de cookies
  • Política de cookies
  • Política de privacitat
  • Condicions de contractació (si tenim e-commerce)
  • Formulari de contacte (consentiment positiu)

Tots ells resultat de l’adequació de l’empresa al RGPD i la LSSICE. És a dir, no val posar només els texts sense adequar o, el que és pitjor, copiar els texts d’una altre pàgina web. I cal prestar atenció, ara mateix, a les cookies, tema del que ja hem parlat.

Tenir una web segura i adequada en matèria de protecció de dades ens permetrà evitar sancions i transmetre confiança al visitant. La resta, contingut i estètica, ja són figues d’un altre paner.

[1] Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (RGPD)
[2] Llei 34/2002, d’11 de juliol de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE)
Imatge Pixabay

Cookies: s’ha acabat el temps!

per

Com dèiem el passat juliol (veure post), l ’Agència Espanyola de Protecció de Dades (AEPD), va donar un termini per implementar els nous criteris pel que fa a les cookies (petites informacions que ens envien els llocs web per, entre altres, donar-nos servei i rastrejar la nostra activitat a Internet). Aquest termini s’acaba demà 31/10/2020).

Com és natural, aquest seguiment que permeten les cookies té moltes implicacions en matèria de protecció de dades. A tots ens ha passat anar a veure unes sabates a un botiga online i, a partir d’aquell moment, els anuncis de sabates ens perseguiran per tota la web, vagis on vagis. I aquesta és una de les funcions més innòcues de les cookies. Estem immersos, cada dia més, en una economia de les dades. I nosaltres som això: dades. Dades de comportament, de preferències, d’hàbits, etc. I quan naveguem anem deixant un rastre que és una mina per les empreses que tracten dades i, en general, per totes que les aprofiten. Google o Facebook són els paradigmes més coneguts però hi ha milers d’altres.

Estan així les coses, el Comitè Europeu de Protecció de Dades (CEPD) el maig passat va modificar les Directrius sobre la prestació del consentiment per part de l’usuari en matèria de cookies. Les noves directrius es basen en la interpretació dels principis de transparència en la informació i la lliure prestació del consentiment del usuari.

En aquest sentit, les modificacions principals van ser:

  • És necessària una clara afirmació afirmativa per part de l’usuari. L’opció “seguir navegant” ja no és vàlida. No es podrà activar cap cookie (excepte les tècniques) si no hi ha acceptació expressa.
  • No es podran fer servir els “murs de cookies” que condicionen l’accés de l’usuari a l’acceptació de cookies, tret que se l’informi i ofereixi una alternativa.
  • L’usuari ha de poder acceptar o no les cookies, de manera senzilla i de forma granular. Per exemple, agrupades per finalitat (analítiques, publicitàries, etc.)
  • Si s’inclouen cookies de tercers, cal detallar com s’oferirà la informació, l’obtenció del consentiment i els mitjans per revocar-lo.

I per acabar, dos coses: els titulars de les pàgines web que no s’hagin adaptat a les noves exigències s’exposen a ser sancionades amb multes fins a 30.000 € per incompliment lleu de la Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE).

I, dos, sense perjudici que, en la mesura que la instal·lació de cookies afecti al tractament de dades personals dels usuaris, el RGPD contempla sancions que poden ser força altes per les infraccions més greus.

Així funciona la desconnexió digital: fins a 6.250€ de multa!

per

Segons recull el diari Cinco Días, l’enviament d’emails fora de la jornada de treball pot comportar multes de fins a 6.250€. Des de la Inspecció de Treball veuen els correus sancionables si l’empresa no aclareix que s’han de respondre en horari laboral.

Primer de tot, fem memòria de què és la Desconnexió Digital. El dret a la desconnexió digital fora de l’horari de treball es conceptua com la limitació a l’ús de les tecnologies de la comunicació per garantir el temps de descans i vacances dels treballadors. I aquest Dret ve recollit en el Títol X de la Llei Orgànica de Protecció de Dades i Garantia dels drets digitals (LOPDGDD).

Durant la pandèmia hi ha hagut un considerable augment del teletreball. I ho hem fet sense estar preparats tècnicament, ni culturalment, ni, per suposat, laboralment. Amb videoconferències a totes hores (sí, aquelles amb camisa i pijama), la bústia plena fins dalt de correus amb infinitat d’annexes i tots preguntant-nos com omplir o signar un pdf (i buscant a corre cuita una signatura digital).

I tot això fent més hores que un rellotge. La falta de preparació i de mitjans, un sumatori de ineficiències elevat al infinit, es compensava en temps de dedicació laboral. Horaris extensos, caps de setmana, festes, sacrificant el descans, la família, … Lluny queda el temps en que el divendres la migdia tancaves el despatx fins dilluns. Ara el despatx i moltes feines (en especial en el sector serveis) estan obertes 24/7.

Per què, qui no mira el correu fora d’hores de feina? O ens estimem més arribar dilluns i trobar-nos la safata d’entrada plena fins dalt amb temes que podíem haver avançat durant el cap de setmana?

Desconnexió digital per a tothom o no? La desconnexió digital és, al meu parer, imprescindible per a tothom. I les empreses faran bé de complir la norma. Però, més enllà del compliment, el que necessitem és aprendre a fer servir les diferents eines de comunicació i informació per sobreviure en la frenètica societat d’avui. Entre tots hem de posar límits.

Mentrestant, recordem que si volem enviar un correu a un treballador, podem fer-ho en qualsevol moment però, això sí, complint amb la normativa que, en aquest cas, exigeix  indicar clarament que s’ha de respondre en horari laboral. I això val per trucades, whatsapp i altres eines de comunicació. I entendre que, si es divendres tarda, no podem demanar un informe per dilluns a primera hora. Tan simple com això.

Imatge Pixabay

Cookies again

per

Teníem pendent dos qüestions pel que fa a les cookies: la validesa de l’opció “seguir navegant” com manera de prestar el consentiment per part dels usuaris i la possibilitat de d’utilitzar els coneguts com “murs de galetes” que permeten limitar l’accés a determinats serveis o continguts als usuaris que expressament accepten l’ús de cookies.

I l’Agència Espanyola de Protecció de Dades (AEPD) ha actualitzat  recentment la seva Guia sobre l’ús de les cookies per adaptar-la a les Directrius sobre consentiment modificades  el maig de 2020 per el Comitè Europeu de Protecció de Dades (CEPD). La nova Guia ja està publicada en la web de l’Agència.

Respecte al primer aspecte destacable, l’opció de “seguir navegant”, la Guia explicita que no és, en cap circumstància, una forma vàlida de prestar el consentiment, en la mesura que aquestes accions poden ser difícils de distingir d’altres activitats o interaccions de l’usuari, per la qual cosa no seria possible entendre que el consentiment és inequívoc.

Pel que fa als “murs de galetes”, la Guia diu que no es podran utilitzar sinó ofereixen una alternativa al consentiment. Aquest criteri resulta especialment important en aquells supòsits en què la denegació d’accés impediria l’exercici d’un dret legalment reconegut a l’usuari, per ser, per exemple, l’accés a un lloc web l’únic mitjà facilitat a l’usuari per a exercitar aquest dret.

Aquests nous criteris s’hauran d’implementar, com a molt tard, el 31 d’octubre d’aquest any, establint-se així un període transitori de tres mesos per introduir els canvis necessaris en els mecanismes d’obtenció del consentiment per a l’ús de cookies que s’estiguin utilitzant.

És clar que la indústria publicitària haurà de moure fitxa i potser el camí és explicar-li a l’usuari, de forma transparent, perquè es fan servir les cookies. Si l’usuari sap exactament perquè volem les seves dades i en què el beneficia, estarà disposat, a ben segur, a compartir-les amb nosaltres. No hi ha un altre camí.

El compliment normatiu no és un camí curt i fàcil però si tots –institucions, empreses, ciutadans i professionals de la privacitat– treballem junts en la mateixa direcció aconseguirem que contribueixi significativament al creixement de l’activitat econòmica, amb seguretat. I, al cap i a la fi, això és el que volem tots.

Imatge Pixabay

El Tribunal de Justícia de la Unió Europea declara invàlid l’Escut de privadesa per a la realització de transferències internacionals de dades als EUA

per

El 16 de juliol de 2020 el Tribunal de Justícia de la Unió Europea (TJUE) ha fet pública una sentència en la qual anul·la la Decisió 2016/1250 de la Comissió que declarava el nivell adequat de protecció de l’esquema de l’Escut de Privacitat (Privacy Shield ) per a les transferències internacionals de dades als EUA. Aquesta Decisió substituïa al seu torn a Port Segur, que també va ser declarat invàlid pel TJUE a l’octubre de 2015.

Més informació

‘Efecte Brussel·les’: cop de puny de la UE sobre la taula

per

En pocs dies s’han aplegat dos fets que guarden una estreta relació i que són de suma importància per els ciutadans europeus i, m’atreveixo a dir, per molts ciutadans del món. M’estic referint al llibre ‘L’efecte Brussel·les’ d’Anu Bradford i, naturalment, l’anul·lació de l’acord conegut com Privacy Shield amb els Estats Units.

Bradford sosté que és Europa –i no Estats Units o Xina– qui domina el món. Com? Gràcies a l’Efecte Brussel·les o, el que és el mateix, l’externalització involuntària de regulacions a través de mecanismes globalitzadors del mercat. Segons l’autora, aquest efecte acaba influint més en la vida de molts habitants del planeta que el poder econòmic o militar dels gegants americans i xinesos.

Europa és un mercat únic molt envejable, entre altres coses, per el seu gran poder adquisitiu. I les empreses internacionals assumeixen les estrictes lleis de la UE per poder-hi accedir i beneficiar-se. I aquestes empreses imposen aquestes regles a les seves filials a tot el món per tal d’uniformar els procediments, aprofitar les economies d’escala i reduir costos.

I un exemple que avala la tesis és el Reglament General de Protecció de Dades (RGPD) que va entrar en vigor ara fa poc més de dos anys. Ja vam escriure llavors que era una legislació amb vocació  ‘universal’ perquè afectava als ciutadans de la UE i que les empreses que volguessin tractar dades personals –imprescindibles per el tràfic econòmic– estaven obligades a complir amb la normativa. Qualsevol empresa, de qualsevol part del món, sense excepció.

Estats Units ha regulat, des de sempre, de forma molt laxa la protecció de dades i sempre a remolc de la UE. Fins a tal punt que Europa acaba d’anul·lar l’acord denominat Privacy Shield. Es tracta d’un acord signat fa quatre anys que permetia transferir dades personals de ciutadans d’Estats membres europeus als Estats Units. La decisió d’invalidar l’acord es basa en que la UE no confia en que la informació sigui tractada amb les garanties pertinents en termes de privacitat.

De les conseqüències de la decisió –tant pel que fa a les grans tecnològiques americanes o per milers de pymes– en parlarem en una altre ocasió. El que es tracta avui és de posar de manifest el cop de puny sobre la taula de la UE, fent visible l’Efecte Brussel·les’ en matèria de protecció de dades. I no serà l’últim.

Twitter, on vas?

per

Hem conegut aquest setmana, dimecres, que Twitter, la xarxa social dels missatges curts, ha estat hackejada. Els comptes de Jeff Bezos, Musk, Obama o Gates s’han vist decididament compromesos. Això, junt amb la resposta de la companyia a l’incident, ha disparat totes les alarmes.

En els Estats Units ja ho han qualificat de “tweet-tastrophe”. I no és per menys. La bretxa de seguretat ha afectat a unes 130 comptes de persones rellevants. I els hackers, segons les primeres informacions, han pogut tenir accés total a un nombre indeterminat d’aquests comptes.

Twitter pot tenir actualment uns 400 milions d’usuaris i és la forma més ràpida de comunicació de masses. Cap altre mitjà hi pot competir. I tot el que té de bo ho té de pervers en situacions com aquesta. I perversitat en dos vessants: la gravíssima situació creada d’una banda i, de l’altre, la irresponsabilitat de la companyia i la seva decebedora resposta a l’incident.

Respecte a la primera, ara hem tingut evidència del risc que suposa que els líders mundials facin servir un producte comercial que no ha estat verificat per les autoritats de seguretat i que està en mans d’una empresa privada. Imaginem, per un moment, la importància que pot tenir per la cotització de Tesla a borsa un tweet malintencionat tuitat, suposadament, per Elon Musk. O per a les economies mundials si el tweet procedeix d’un Bill Gates impostat. I que dir d’un tweet fake de Trump quan els verdaders ja ens posen els cabells de punta. Des de l’enfonsament d’una companyia a un terrabastall econòmic, o ves a saber si sanitari si el tuit es refereix al COVID-10, fins a posar en perill la seguretat mundial amb tuits falsos creuats entre Trump i Putin, per exemple.

Respecte a la responsabilitat de la companyia val a dir que és màxima. És clar que tot sistema és susceptible de ser hackejat però per això les empreses, i més quan són així de rellevants, han de tenir plans de contingència que permetin minimitzar sinó evitar els possibles danys. I en qualsevol cas, si els comptes són atacats, mai hauria d’existir la possibilitat que algú prengués el control del compte d’un usuari quan aquest ha seguit totes les normes i ha aplicat les seves mesures de seguretat. La irresponsabilitat de Twitter és estratosfèrica i absolutament imperdonable.

 I la resposta a l’incident has estat absolutament insuficient. Sense comunicació, sense informació, sense explicacions, sense disculpes. Silenci total. Descontrol total. I aquest no és el camí. Per això preguntem, Twitter, on vas?

Imatge Pixabay

Reutilitzar paper pot resultar molt car

per

L’AEPD multa a una advocada per reutilitzar documents amb dades de clients en el revers. La lletrada, que afronta una sanció de 2.000 euros, va aprofitar paper usat que contenia informació personal d’altres clients.

Sempre és bo reutilitzar i reciclar qualsevol consumible i el paper és, encara, un dels més importants en aquest aspecte. Tradicionalment, a més, en els despatxos d’advocats s’ha fet servir molt paper per raons òbvies – escrits de tota mena, comunicats dels jutjats, còpies per totes les parts, etc.– Per raó de la professió l’advocat necessita molt paper i és pràctica habitual reciclar tot el paper possible.

Però les coses estan canviant. La transformació digital, que ha avançant molt durant la pandèmia, és una revolució imparable. Però fins que no estigui implantada completament hem d’anar en compte i observar curosament la legislació vigent, en aquest cas, el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (RGPD).

L’AEPD considera  que l’actuació de la lletrada suposa, precisament, una vulneració de l’article 32 d’aquest Reglament. La norma en qüestió obliga als responsables de tractament de dades a “aplicar mesures tècniques i organitzatives per garantir el nivell de seguretat adequat. Per això ha fixat una sanció de 2.000 euros.

Segons recull la resolució, l’advocada va fer servir paper que contenia informació personal de clients anteriors, fins i tot un menor d’edat, per convocar una reunió de llogaters. Paper que en el revers apareixien dades de tercers referides a procediments anteriors, el que suposava fer accessible aquestes dades a tercers, sense consentiment dels titulars.

L’article 32 del RGPD, en el marc de la Seguretat de les dades personals, apunta les mesures a prendre per garantir un nivell de seguretat adequat al risc com, per exemple, la seudonimització i el xifrat, garantir la confidencialitat, integritat, disponibilitat i resiliència dels sistemes, la capacitat de restaurar les dades i l’accés a la informació en cas d’incident i un procés de verificació i avaluació de l’eficàcia de les mesures implementades. Aplicant aquestes mesures minimitzarem els riscos i evitarem les sancions.

Perquè 2.000 euros és una sanció relativament petita. L’equivalent, aproximadament a 625 paquets de 500 fulls DIN A4. I es poden recuperar en el proper assumpte que ens encarreguin. Però el pitjor, com sempre, és la reputació. Confiaríem els nostres assumptes més importants a un professional que no té cura de les dades personals i de la privacitat dels seus clients? És més, confiaríem en un advocat que no compleix la llei en la seva activitat?

Imatge Pixabay

Externalitzar la publicitat no eximeix de responsabilitat

per

L’anunciant és responsable de la publicitat encara que l‘hagi externalitzat. La sala tercera del contenciós administratiu estima que encara que es subcontracti a una empresa externa per a les campanyes publicitàries això no elimina la responsabilitat de l’anunciant.

Ho ha dictaminat el Tribunal Suprem. L’externalització de la publicitat no eximeix a les empreses de l’obligació que tenen de d’excloure als clients que no la volen rebre. Confirma així una multa de 40.000€ a Mutua Madrileña per enviar anuncis a un client que expressament havia rebutjat l’ús de les seves dades.

Diu la Sala Tercera que encari que es subcontracti a una empresa externa per les campanyes publicitàries, no s’elimina la responsabilitat de l’empresa anunciant.

El client, que tenia tres pòlisses d’assegurança en la Mútua, comptava amb dos comptes de correu electrònic inscrites en la Llista Robinson (servei d’exclusió publicitària) des de gener de 2012. Segons els fets provats en el plet, el 20 de desembre de 2011 va exercir el seu dret d’oposició al tractament de les seves dades personals davant Mutua Madrileña, en una comunicació en la qual només autoritzava a la companyia a que utilitzés les seves dades personals en el que resultés imprescindible per al desenvolupament de la relació contractual, excloent “tractaments amb fins publicitaris o de prospecció comercial, “la realització de segmentacions”, “estudis de màrqueting” o “campanyes publicitàries”. A pesar d’això, el denunciant va continuar rebent comunicacions comercials.

Mutua Madrileña, en recurs, va al·legar que haver facilitat  a l’empresa de publicitat un fitxer d’exclusió amb clients que no volien publicitat hagués  suposat una cessió consentida de dades. I que l’empresa contractista assumia com propi el compliment de les obligacions en matèria de protecció de dades.

El Tribunal rebutja els arguments perquè MM no va adoptar cap mesura cautelar per evitar l’enviament de publicitat i que segons la normativa de protecció de dades, l’anunciant està obligat a comunicar les sol·licituds del dret d’oposició que s’hagin exercit a l’empresa que fa la campanya publicitària.

En resum, les empreses han d’estar atentes a l’exercici de drets per part de l’usuari (per la qual cosa han de tenir els corresponents protocols) i fer-los efectius. I per la seva part, les empreses de publicitat, en els contractes de tractament de dades, han de tenir present circumstàncies con la recollida aquí i estar vigilants  perquè, encara que no acabi en sanció, la seva reputació es pot veure perjudicada.

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web