Estem vivint temps complicats. Per molts de nosaltres és una situació inèdita i, tot sovint, angoixant. Ens hem tingut que fer al confinament, al teletreball i, com no, a l’ús intensiu de les tecnologies de la informació i la comunicació. Com deia en un post anterior, si alguna cosa té de bo la situació, si es pot dir així, és la decidida transformació digital a la que ens hem sotmès tots de la nit al dia.

Fins ara, termes com videoconferència, aplicacions grupals o VPN (xarxa privada virtual) eren termes que coneixíem de forma més o menys vaga. Ara parlem de Zoom, de Teams o de quina és la millor VPN com vertaders experts.

I precisament la pressió sota la que vivim combinada amb la necessitat de comunicar-nos, treballar i gaudir en el confinament ens posa en una situació vulnerable. I d’això en treuen profit des dels hackers amb el phishing  i altres estafes, com les empreses, en especial les tecnològiques. I molt especialment les de comunicacions com és el cas del que parlem avui.

Llegíem l’altre dia a la revista VICE que l’aplicació Zoom amb iOS envia dades a Facebook, fins i tot si no tenim cap compte de Facebook. I aquesta transferència de dades a Facebook no està explicada en la política de privacitat de Zoom.

Aquesta es una de les app que ha experimentat un creixement exponencial en aquesta crisis. Videochat amb família i amic¡s, reunions de grup de l’empresa, conferències i webinars, classes virtuals, serveis religiosos, cites a cegues i fins i tot comiats de solter, per citar algun dels serveis que presta Zoom aquests dies.

La creu de l’app està en la privacitat i la seguretat. No hi ha xifrat d’extrem a extrem (per la qual cosa pot veure la trucada)  I se està donant l’efecte “zoombombing”, es a dir, trolls que intervenen en les trucades difonen, pes exemple, pornografia.  Per rematar-ho, la companyia ha informat que Zoom permet compartir les dades de milers d’usuaris sense permís. Zoom agrupa automàticament els usuaris segons el domini pq entén que pertanyen a la mateixa empresa. I això, que te avantatges com connexió ràpida compartint correu, nom i fins i tot, fotografia, no sempre és així.

Les avantatges de Zoom són evidents, començant perquè és gratuïta per ús personal. Cal veure però si les mancances observades són tolerables i ens compensen. Cas contrari, buscar alternatives al mercat.

I, com sempre, prudència i sentit comú.

Segons les prediccions de Forrester per 2020, estem en el “precipici del canvi de llarg abast”. Entre altres aspectes, l’estudi assegura que 2020 serà un mal any per l’ús de dades de tercers i un bon any per els professionals del màrqueting que es prenguin seriosament la privacitat del consumidor.

La preocupació per la privacitat accelera

Això és així tant des del punt de vista dels usuaris afectats com per part de les empreses que volen fer servir dades personals per les seves activitats comercials i de màrqueting. No diguem per les empreses que tenen com activitat principal la realització professional de campanyes publicitàries.

Cada dia més, els consumidors estan més preocupats per com es recullen les seves dades i com es fan servir. En els últims temps, una combinació de notícies sobre bretxes de seguretat (algunes amb forta repercussió mediàtica com les sancions imposades a Facebook), conductes impròpies (com les de Google) i l’increment de regulació (i la pressió amb les primeres sancions) han fet que l’usuari sigui cada dia més conscient del perill que corren les seves dades i, també, dels mecanismes que té a la seva disposició per defensar-se (com, per exemple, l’exercici de drets que li reconeix el RGPD, incloent-hi la possibilitat d’acudir a l’autoritat de control –en el nostre cas, l’AEPD– si entén que els seus drets han estat vulnerats).

Les empreses són també cada dia més conscients de que el correcte tractament de les dades de l’usuari té molt a veure amb la confiança necessària que s’ha d’establir entre les parts perquè hi hagi uns transacció econòmica. I, també, que el dany reputacional d’una mala praxis pot tenir conseqüències de llarg abast.

I els reguladors cada cop són més precisos, aprenen de les experiències, creen noves regulacions (seguint el deixant del RGPD) com estem veient a Califòrnia amb la Califòrnia Consumer Privacy Act (CCPA) i a New York amb la New York Privacy Act (NYPA) i, naturalment, imposen més sancions (l’autoritat espanyola és, hores d’ara, líder europeu en número de sancions –tot i que no en import–).  

Previsions pel 2020

Sigui per un consumidor més informat, per les sancions, la regulació  o la tecnologia que ens permeti millorar l’estat de la tècnica, el que sembla clar és que les empreses de màrqueting ja no podran confiar en dades agregades de tercers per adreçar-se al seus consumidors.

Les empreses preferiran connectar amb els clients a través d’experiències personalitzades i s’estima que incrementaran en un10% el pressupost per el màrqueting d’influència.

No es pot predir en quina mesura s’aconseguirà canviar el màrqueting basat en dades agregades a un màrqueting d’influència però la tendència sembla indiscutible  per els propers anys.  

Semblava un tema més que superat però una recent sentència del Tribunal de Justicia de la Unió europea ha establert que la col·locació de cookies requereix el consentiment actiu dels usuaris. Per tant, una casella marcada per defecte és insuficient.

Comencem per explicar que les cookies són fitxers que el proveïdor d’un lloc d’Internet col·loca a l’ordinador dels usuaris d’aquest lloc i als quals es pot accedir novament quan aquests tornen a visitar el lloc amb la finalitat de facilitar la navegació en Internet o les transaccions o d’obtenir informació sobre el comportament d’aquests usuaris.

L’obligació del responsable del lloc web, diu el Tribunal, és obtenir el consentiment abans d’emmagatzemar o accedir a cookies no essencials (entenen per “essencials” aquelles cookies tècniques, necessàries per el funcionament del lloc web). Les cookies no essencials són, per exemple, aquelles que permeten fer el seguiment de l’usuari amb la finalitat d’enviar-li publicitat segmentada o recollir dades estadístiques. El consentiment no pot ser tàcit, implícit o assumit. Ha de ser exprés o no es.

La decisió del Tribunal posa en qüestió milers de webs que, hores d’ara, no sol·liciten primer el consentiment abans d’instal·lar les cookies. I això significa un clar incompliment que, a banda de costos reputacionals, suposa arriscar-se a ser multat. No cal dir-ho que la comprovació la pot fer qualsevol només entrant en mode incògnit des del seu navegador.

Consells

1. Reviseu i ajusteu, si cal, la Política de Cookies. Comproveu quines cookies instal·la la vostra web en el ordinador del usuari (i mireu si totes us interessen o us en falta alguna). Assegureu-vos que les cookies instal·lades estan clarament explicades en la Politica de Cookies (en especial, si compartiu les dades que recopileu amb tercers). Si és necessari, redacteu-ne una nova versió i feu-ho saber als visitants del vostre lloc web.
2. Implementeu a la pàgina una solució tècnica que permeti a l’usuari, d’acord amb la Política de cookies que hem definit, triar quines vol permetre que s’instal·lin en el seu ordinador (al marge de les essencials). La solució, a més, ha d’informar de com l’usuari pot canviar o retirar el consentiment.

Complir amb el Reglament General de Protecció de Dades quan fem e-mail màrqueting, no és complex. Només cal observar unes bones pràctiques i afegir-hi dosis de prudència i sentit comú. A continuació en repassem algunes.

1. Mantenir llistes netes demanant confirmació (“double opt-in“)

Quan l’interessat ens envií les seves dades a través d’un formulari, enviem un correu de confirmació en el que ha de confirmar la seva subscripció. Així tindrem llistes més netes i confiables.

2. Processar les dades personals sota la base de legitimació correcte

Podem tractar les dades dels interessats per diferents propòsits però hem de determinar sempre quina és la base legal que ens legitima a fer-ho: Consentiment inequívoc, Necessitat contractual, Obligació legal, Interès legítim, Interès públic i Interès vital de l’interessat.

3. Obtenir el consentiment explícit abans de enviar correus de màrqueting

Si la base legal és la de Consentiment inequívoc, enviem els e-mails de consentiment als subscriptors. D’aquesta manera, ens assegurem que aquells subscriptors que han mostrat interès, per exemple en fires, convencions, webinars, …, han expressat explícitament el seu consentiment per rebre les nostres comunicacions. I haurem d’oferir també la possibilitat de denegar el consentiment.

4. Informar a l’usuari

L’usuari té el dret a que se l’informi, expressament o per remissió a la Política de Privacitat, de qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los. A més de complir amb la normativa, generem confiança en l’usuari.

5. Ser transparents amb les dades dels usuaris

En virtut al Dret d’accés que reconeix el RGPD, l’usuari te que poder accedir a les seves dades personals quan ho demani. Pot demanar, també, que se li facilitin aquestes dades en format digital, llegible per màquines.

6. Dir clarament qui som

Facilitem les nostres dades: nom de l’empresa responsable de les dades, CIF, adreça electrònica (específica per protecció de dades) i postal i un número de telèfon de contacte. Generem confiança i facilitem la comunicació.

7. Explicar d’on hem tret les dades

O, el que és el mateix, explicar als subscriptors com els hem conegut i perquè estan en la nostra llista.

8. Deixem triar el que volen rebre

Diferenciem la nostra oferta de manera que es pugui triar, amb una acció positiva, la informació que els subscriptors volen rebre, sense condicionar-ho. Fem-ho fàcil per tothom.

9. Permetre la modificació / eliminació de dades personals

Els subscriptors ens podem demanar modificar o eliminar la seva informació personal dels nostres registres. Són drets que recull el RGPD. I és la nostra obligació facilitar els mecanismes necessaris per poder exercir-los.

10. Protegim la informació

La protecció de les dades és un aspecte clau del RGPD. Hem de tenir cura d’emmagatzemar les dades personals amb la màxima seguretat, controlant-ne l’accés, xifrant-la i fent les preceptives còpies de seguretat.

11. Garantir-ho tot amb una Política de Privacitat

A totes les comunicacions hem d’afegir-hi un enllaç a la Política de Privacitat. I a l’hora de recollir el consentiment, hem de disposar d’una casella que l’usuari ha de marcar conforme ha llegit i accepta la Política de Privacitat. Aquesta Política ha d’explicar, com a mínim, qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los.

Primera sanció de l’AEPD per no complir la normativa respecte a la utilització de cookies a la seva pàgina web a la companyia Vueling.

Segons l’usuari denunciant, “la web de la companyia no permet utilitzar les galetes estrictament necessàries i més vaga una acció afirmativa i positiva que no es pugui mal interpretar el consentiment i l’assumeixen simplement en visitar la seva pàgina web”.

Un cop realitzades les comprovacions, segons l’Agència, l’empresa no compleix amb les condicions que imposa la normativa en vigor. En els fonaments de dret diu que “si s’accedeix a la segona capa, el consentiment a què es cedeixin dades a tercers a través de galetes és implícit, ja que en cap moment dóna l’opció de poder oposar-se a la instal·lació d’aquestes en el dispositiu o de qualsevol altra galetes “.

A més, no facilita un sistema de gestió o panell de configuració de galetes que permeti a l’usuari eliminar-les de forma granular. Per facilitar aquesta selecció el panell podrà habilitar un mecanisme o botó per rebutjar totes les galetes, un altre per habilitar totes les galetes o fer-ho de forma granular per poder administrar preferències.

Els fets exposats, prossegueix l’Agència, podrien suposar per part de l’empresa reclamada, la comissió de la infracció de l’article 22.2 de la LSSI¹, segons el qual: “Els prestadors de serveis podran utilitzar dispositius d’emmagatzematge i recuperació de dades en equips terminals dels destinataris, a condició que els mateixos hagin donat el seu consentiment després que se’ls hagi facilitat informació clara i completa sobre la seva utilització, en particular, sobre les finalitats del tractament de les dades, d’acord amb el que disposa la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal “.

Aquesta Infracció aquestes tipificada com a lleu en l’article 38.4 g), de la citada Llei, que considera com a tal: “Utilitzar dispositius d’emmagatzematge i recuperació de dades quan no s’hagués facilitat la informació o obtingut el consentiment del destinatari del servei en els termes exigits per l’article 22.2. “, podent ser sancionada amb multa de fins a 30.000 €, d’acord amb l’article 39 de l’esmentada LSSI.

Finalment, l’Agència, després de les evidències obtingudes en la fase d’investigacions prèvies, considera que procedeix graduar la sanció a imposar en la quantia de 30.000 €. Com sigui que hi ha hagut reconeixement de la responsabilitat per part de l’empresa, la sanció s’ha reduït fins als 18.000 €.

Llegir la Resolució completa aquí.

¹ LSSI: Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic

Ricard Castellet, director de TecnoLaywer, ha impartit una formació sobre Protecció de Dades i Ciberseguretat en el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

Els agents de la propietat immobiliària han conegut de primera mà les bligacions en matèria de protecció de dades personals que han de complir, així com les mesures organitzatives i tècniques que aquests han de realitzar per a adequar la seva activitat a la normativa vigent. També ha informat sobre algunes de les primeres sancions – apercebiments i multes- que ha imposat l’AEPD (Agencia Española de Protección de Datos) a empreses de diferent tipologia.

La sessió s’ha complementat amb un taller pràctic per a resoldre les qüestions específiques de les agències en l’aplicació de la normativa. Així mateix, s’ha introduït el concepte de ciberseguretat per a conscienciar a les agències sobre la seva vulnerabilitat dels equips i programari respecte als ciberatacs.

Aquesta formació s’imparteix en el marc del conveni de col·laboració de TecnoLawyer amb el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

A finales de abril de este año, se han conocido las primeras resoluciones sancionadoras emitidas por la Agencia Española de Protección de Datos (AEPD) en las que se aplica la nueva normativa de protección de datos. Las sanciones impuestas son multas o apercibimientos.

Los principales actos sancionados con multa han sido por las siguientes causas:

Por enviar a una persona al fichero de morosidad:

• Infringiendo el principio de exactitud de los datos 5.000 €- (a Vodafone)
• Vulnerando el consentimiento 28.000 €-
• Vulnerando el principio de calidad en relación con los ficheros de morosidad 24.000 €-.
• Por incumplir los requisitos para enviar una persona al fichero de morosidad 2.500€-

Por recibir más de 200 SMS a pesar de que había ejercitado del derecho de cancelación del servicio

• Por falta de diligencia en el tratamiento de datos al no ejercer el derecho de cancelación de un servicio 45.000 €-. (a Vodafone)

Vodafone es una de las empresas que más sanciones sufre en materia de protección de datos

Las sanciones con multa tienen una reducción del 20% por reconocimiento de responsabilidad y de otro 20% por pago voluntario.

Los principales actos sancionados con apercibimiento -sin sanción económica- han sido por las siguientes causas:

Videovigilancia

• Por grabar en la vía pública y en algún caso por no informar de ello. Se han sancionado con apercibimientos a bares, tabernas y particulares.

Envío de correo electrónico sin copia oculta

• Por envíos a direcciones de correo electrónico sin ocultar las direcciones de los destinatarios por parte de pequeñas empresas. Ninguna de ellas había sido comunicada como brecha de seguridad.

Brechas de seguridad

• Por utilización de terminales de teléfono expuestos a disposición de potenciales clientes desde los que se podía acceder a datos personales de empleados y clientes por parte de 2 tiendas de teléfonos móviles
• Por tener en la basura documentos con datos personales de alumnos por parte de una cooperativa que gestiona un centro de enseñanza. La policía local vio como las trabajadoras de la limpieza tiraban a la basura los documentos y denunció al colegio ante la AEPD. La Junta Directiva tuvo que ser destituida por este motivo.

Imágenes de menores

• Por tomar fotografías a un menor de 5 años sin consentimiento de quien ostenta la patria potestad por parte de una feria de atracciones.
• Por realizar fotos de menores, sin consentimiento, para comercializar unos calendarios denunciado por parte del AMPA. Las familias habían dado el consentimiento al colegio, pero no al AMPA. El padre de uno de los menores interpuso reclamación ante la AEPD.

Publicación de datos en la web

• Un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa
• Publicación en la web de una asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales

En vista de estas actuaciones, para las sanciones con apercibimiento parece ser suficiente con que se acredite la toma de medidas organizativas y/o técnicas o bien se informe de la intención de no volver a incurrir en la acción sancionada.

Estas han sido las primeras sanciones que se han dado a conocer. Se prevé que, a partir de septiembre, la acción sancionadora de la AEPD se intensifique.

Con efecto a partir del próximo 12 de mayo de 2019, el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, modifica el art. 34 del Estatuto de los Trabajadores, instaurando el deber de la empresa de garantizar el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria existente.

El objetivo es, por una parte, computar las horas extraordinarias de los trabajadores mediante el registro de las horas realizadas cada día y, por otra, controlar el tiempo de trabajo de los trabajadores a tiempo parcial.

Como es natural, los especialistas en Derecho laboral nos darán las pautas a seguir desde su punto de vista. Lo que a nosotros nos preocupa, como no, son las vulnerabilidades en materia de protección de datos que la nueva obligación plantea.

Y lo hace, al menos, en tres aspectos.

1. La forma de registro
2. La conservación de la información
3. La disponibilidad de los registros.

1. La forma de registro queda a discreción de la empresa (previa consulta a los trabajadores). Y puede ser desde una simple hoja de Excel hasta un sofisticado sistema de geolocalización, pasando por controles biométricos (Art. 9.1.a) RGPD[1]) u otros. En este aspecto, el peligro proviene de utilizar medios invasivos o claramente desproporcionados como, por ejemplo, el control por huella digital o reconocimiento facial o la monitorización constante mediante sistemas de geolocalización.

2. La conservación de la información es el segundo aspecto a tener en cuenta. Aunque los datos no sean de categoría especial (se recogen habitualmente el nombre, la fotografía, número de empleado, etc.), debemos conservarlos adecuadamente (como con todos los datos personales). Si guardamos datos biométricos o similares, la conservación debe ser especialmente segura. Hay que tener en cuenta que la norma exige su conservación por el plazo de cuatro años.

3. La disponibilidad de los registros es el último. Dice la normativa que estos deben permanecer a disposición del trabajador, sus representantes y la Inspección de Trabajo y Seguridad Social. Esta disponibilidad conlleva ciertamente peligros desde la óptica de la protección de datos como son el acceso a los registros por personas no autorizadas o la distribución de forma inadecuada.

Para concluir, unas recomendaciones generales, entendiendo que cada empresa es un mundo y que no es lo mismo, por ejemplo, una empresa de servicios que una empresa industrial.  Por lo que respecta al registro, buscar un sistema mínimamente invasivo, que no haga uso de datos biométricos. Siguiendo el Reglamento, usar los datos mínimos imprescindibles. En cuanto a la conservación –y la disponibilidad–, es recomendable utilizar medios tecnológicos contrastados (descartamos el papel y la hoja de Excel), que permitan demostrar el cálculo de horas sin posible manipulación y que se puedan facilitar, a terceros, sin poner en peligro la información (distribución seudonimizada). Una app en la nube podría ser la mejor solución. Pero solo es una opinión.

Como consultores en Derecho Digital, estamos al servicio de la empresa. Podéis contactar con nosotros en info@tecnolawyer.com. Estaremos encantados de prestaros ayuda.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)