Privacitat – protecció de dades

Aquest és el títol d’una famosa pel·lícula de 1964, en la que el prolífic director de cine Sergio Leone dirigia a l’inefable Clint Eastwood en un spaghetti western que es va convertir en un clàssic del gènere. No us comentaré la cinta, només aprofito el títol per fer-vos la reflexió que molt sovint hi ha estalvis que es converteixen en un disgust.

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) va publicar la seva Memòria AEPD 2020. El primer titular de la presentació es que, durant el 2020, es van presentar un total de 10.324 reclamacions. Gairebé 50 diàries, en dia laborable. I podríem afegir-ne a prop d’un miler si hi afegim els casos transfronterers, els que actua per iniciativa pròpia i les fallides de seguretat traslladades a la inspecció.

Les reclamacions més freqüents tenen a veure amb serveis d’Internet, inclusió indeguda en fitxers de morosos, videovigilància, recepció de publicitat i reclamació de deutes. Per sectors, els més sancionats són les entitats financeres i creditores, Administracions Públiques i les empreses de telecomunicacions.

També s’han realitzat 29 intervencions amb caràcter d’urgència per la retirada de continguts sexuals o violents, difosos per Internet, associades al Canal prioritari, amb un percentatge d’èxit superior al 86%.

És important destacar el fet que, a pesar de la pandèmia, l’activitat de l’Agència s’ha mantingut, posant de manifest que la implantació del teletreball no ha disminuït la capacitat de treball de l’Organisme.

Us poden semblar que les reclamacions són moltes o poques. Al meu parer, són suficients per reflexionar sobre si val la pena que, “per un grapat d’euros”, ens posem en mans de professionals que ens ajudin a complir amb la llei.

Perquè sempre diem que el cost de l’adequació de l’empresa és un cost cert però que el cost de no adequar-se és imprevisible. El primer es pot imputar ordenadament en la comptabilitat de l’empresa i, el segon, ens pot fer una destrossa a l’economia i, el que és més important, a la nostra reputació. I aquesta costa molt de recuperar.

Adequar l’empresa a la normativa genera confiança entre empleats (són els primers que pateixen la desconfiança), clients (fem les coses ben fetes excepte complir amb la llei?), proveïdors, administracions (si volem, per exemple, licitar). Fem les coses ben fetes. Per un cost cert.

Cuideu-vos!

Si ens dediquem al màrqueting i a la comunicació hem de tenir especial cura amb la utilització i  publicació d’imatges de tercers. Al marge de vulnerar els drets d’imatge, ens podem trobar amb sancions importants per part de l’Agència Espanyola de Protecció de Dades (AEPD).

En efecte, l’Agència ha sancionat amb 9.000€ al responsable d’una web per publicar material fotogràfic i altres dades personals d’un usuari, sense el seu consentiment. A més, l’usuari va reclamar i no va obtenir resposta.

Segons l’AEPD,  i “de conformitat amb les evidències de que es disposa”, es considera que els fets són constitutius de dos infraccions:

• Una primera infracció per vulneració de l’article 6 RGPD per el tractament sense consentiment i
• Una segona, per vulneració de l’article 13 RGPD perquè la Política de Privacitat de la pàgina web mancava dels requisits exigits pel que fa al tractament de dades de caràcter personal

Ja hem parlat en diferents ocasions de la importància d’estar legitimats per tractar dades personals. El Reglament recull diverses bases de licitud com pot ser l’execució d’un contracte, una obligació legal, per interès públic, per protegir interessos vitals de l’usuari, per interès legítim del responsable i, naturalment, per el consentiment de l’interessat (veure posts sobre el tema).

Entenc que no cal insistir en la qüestió. Si no estem legitimats, no podem tractar dades personals. I punt.

Respecte a la segona qüestió, els texts legals web, també n’hem parlat (veure posts). Com responsables, tenim obligació de informar a l’afectat del tractament de les seves dades personals, tal com disposen els articles 13 i 14 RGPD i el 12 LOPDGDD, i posar a la seva disposició els mitjans per exercir, de forma accessible, el drets que li corresponen.

En conseqüència, l’AEPD imposa, per la primera infracció, una multa de 5.000€ i de 4.000€, per la segona. A més dels danys reputacionals que es poden patir, no és plat de bon gust rebre sancions econòmiques per no haver fet les coses ben fetes.

I un altre dia parlarem dels drets d’imatge personal. Recordem que el dret a la imatge és un dret fonamental recollit a la nostra Constitució. Tret de les excepcions que marca la llei, sempre hem de tenir el consentiment de la persona per la captació, reproducció o publicació.

Com sempre, cuideu-vos!

Imatge Pixabay

Són preguntes recurrents. Què és l’Avís legal? En necessito un per a la meva web? Això té a veure amb la Protecció de Dades? Vull aprofitar el post per aclarir els dubtes i explicar quina és la seva obligatorietat, el contingut mínim i la seva funció. Engeguem així una sèrie d’articles que cobriran els diferents aspectes que hem de tenir en compte perquè la nostra web sigui completament legal.

Què és l’Avís legal?

El concepte d’Avís legal es refereix a l’advertència legal que s’inclou en la majoria de webs i que recullen, d’una banda, las responsabilitat del propietari de la web i, de l’altre, els drets del visitant del lloc.

Perquè és obligatori disposar d’un Avís legal?

Perquè així ho diu la Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació y de Comerç Electrònic (LSSICE).

Quan és obligatori tenir un Avís legal?

Estan obligades a exhibir l’Avís legal totes les webs de caràcter corporatiu, és a dir, que pertanyin a una empresa o a un professional, que tinguin o pretenguin tenir activitat econòmica o que estiguin relacionades amb algun tipus d’activitat professional.

Entren dins d’aquests supòsits a) les webs o blogs corporatius que tenen com finalitat oferir, divulgar o promocionar algun tipus d’activitat professional; b) totes aquelles webs dedicades al comerç electrònic, botigues online, ecommerce que ofereixin productes o serveis y c) llocs web que incloguin algun tipus de publicitat.

Què ha d’incloure l’Avís legal?

• Nom o denominació social, NIF/CIF i dades de contacte (domicili, correu, etc.)
• Inscripció al Registre Mercantil, si l’empresa està registrada
• Autorització administrativa si l’activitat ho precisa
• Dades del Col·legi Professional si l’activitat està regulada
• Termes d’ús de la web per regular drets i responsabilitats dels usuaris
• Referència als drets de Propietat Intel·lectual, tant propis com de tercers
• Responsabilitat i garanties del titular de la web
• Data, versió i vigència de la informació i possibles canvis

On haig de posar l’Avís legal en la meva web?

S’ha de posar un enllaç al peu de totes les pàgines de la web. L’objectiu és que estigui sempre disponible per consultar. El contingut ha de ser només el propi Avís legal.

I si no complim?

 Doncs, com sempre, estarem exposats a sancions, hi afegirem el dany reputacional i no generarem confiança entre els nostres clients i usuaris. Tindrem, en conseqüència, menys negoci i més feble, sens dubte.

Cuideu-vos!

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a un advocat que va llençar documents amb dades personals de diversos clients al costat d’un contenidor d’escombraries. Entre els papers es trobaven escriptures, poders notarials, sentències d’òrgans judicials, fotocòpies de DNIs de clients, testaments i altres documents amb dades personals.

L’Agència considera que l’advocat ha infringit l’article 32.1 del Reglament General de Protecció de Dades (RGPD) que fa referència a la Seguretat del tractament i tipificada en l’article 83.4.a. Tot i això, l’Agència només imposa un simple amonestació perquè considera que la multa administrativa que podria correspondre per la infracció seria desproporcionada per el reclamat. Només cal recordar que la sanció establerta per el RGPD en aquest article pot arribar als 10.000.000€ o, en el cas d’empresa, una quantia equivalent al 2% del volum total de negoci anual global de l’exercici financer anterior, optant per la de major quantia. No és cap broma.

Segons l’AEPD, la responsabilitat del lletrat ve deriva de la fallida de seguretat en el tractament de les dades personal sota la seva responsabilitat. I això té molt a veure amb no haver implantat de forma efectiva les mesures de seguretat –legals, tècniques i  organitzatives– adequades per garantir el nivell de seguretat apropiat. Així es podria haver assegurat la confidencialitat de les dades en cas d’un incident com és el cas.

Aquest incident es podria haver evitat si el despatx hagués disposat d’una Política d’Eliminació de la documentació  i els protocols corresponents. Així, per a la destrucció de paper es pot fer, des de utilitzar una simple destructora amb les característiques adequades fins a la contractació del servei a una empresa especialitzada en la destrucció de documentació, homologada (Norma UNE EN-15713) que certifiqui el procés. Una mesura de seguretat senzilla, a l’abast de tothom que ens pot estalviar un disgust.

El Reglament no té un llistat de mesures a aplicar sinó que, en el marc de la responsabilitat proactiva del responsable, aquest haurà d’aplicar aquelles mesures que siguin proporcionades i adequades al risc assignat al tractament en qüestió. I aquestes mesures tenen que tenir en compte diversos factors com són els costos d’implementació, l’estat de la tècnica, al context, l’abast, les finalitats del tractament, entre altres.

En fi. Un advocat no pot tirar els seus papers a les escombraries. Tu tampoc!

Cuideu-vos!

Al llarg de l’any es commemoren molts dies per les més diverses causes (el clima, els drets de diversos col·lectius desafavorits i tantes altres causes nobles). Doncs també hi ha una dia per commemorar la Protecció de Dades (Privacy en els països anglosaxons). I aquest dia és el 28 de gener.

Com en la resta de dies, es tracta de crear consciència entre col·lectius de manera que ens conscienciem tots de la importància que la privacitat té a les nostres vides. I les implicacions que pot suposar, cada cop més, que no hi prestem atenció. I, per evitar-ho, celebrem un cop l’any el Dia Internacional de la Protecció de Dades.

Alguns fets recents posen de manifest que les coses estan canviant. Per exemple, l’anul·lació del Privacy Shield per part del Tribunal de Justícia Europeu o les noves directives sobre cookies que vam conèixer aquest estiu. Ens fem ressò també de les recents multes de l’AEPD. Tant les de import molt elevat, a BBVA i Caixabank, com altres més modestes però que castiguen conductes molt habituals en el dia a dia. El cas que hem viscut recentment amb l’eina “RadarCovid” que el govern va posar a disposició de la ciutadania per lluitar contra la pandèmia sense publicar l’avaluació d’impacte. O la recent decisió de Whatsapp d’ajornar l’entrada en vigor de les noves condicions d’ús de l’aplicació.

I aquesta última ha sigut especialment polèmica, perquè obliga a l’usuari a acceptar-les i, per tant, a compartir dades amb Facebook. De fet, ha generat una sortida important d’usuaris cap a altres plataformes de missatgeria com Telegram o Signal. El que posa de manifest aquesta “rebel·lió” és que els usuaris són cada dia més conscients dels seus drets i que no estan disposat a deixar-se avassallar per les grans tecnològiques. De fet, tampoc per els grans bancs o grans empreses, ni siquiera per modestos despatxos d’advocats com hem vist més amunt. Per ningú.

Lluny queden els dies en que els usuaris llegien les condicions i acceptaven sense preguntar, empesos per la il·lusió de fer servir l’aplicació quan abans. Era un temps en el qual es donaven situacions inversemblants i absurdes amb les condicions. Ara, al menys, hi ha gent que sí les llegeix i ens alerta a la resta.

En el bon camí, es va presentar recentment el Pacte Digital per la Protecció de les Persones, un gran pacte per la convivència ciutadana en l’àmbit digital, en el que es posa en valor la privacitat com un actiu per les organitzacions públiques i privades. Un gran pas endavant.

Feliç dia. Cuideu-vos.

Imatge Pixabay