Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

17.200 milions de registres perduts entre 2004 i 2021

per

Així és recull en un recent article de Visual Capitalist titulat “Visualizing The 50 Biggest Data Breaches From 2004–2021”. La veritat és que la dada objectivament resulta impressionant. És clar que si la posem en el context del total de dades que es gestionen en el món, probablement es podrà relativitzar. En qualsevol cas, el titular és prou cridaner per fer algunes reflexions al voltant de la privacitat i el seu corol·lari, la ciberseguretat.

Què és una bretxa de seguretat?

Comencem per el principi. Una bretxa de seguretat és un incident per el qual informació sensible o confidencial es copiada, transmesa o robada per un entitat no autoritzada. Això pot ocórrer com a resultat de atacs de malware, frau en pagaments, filtracions internes o divulgació no intencionada.

Entenent els fonaments de les Bretxes de Seguretat

La bretxa de seguretat consisteix en tot acte d’intromissió, il·lícit o no autoritzat que:

  • Pot ocasionar la destrucció, pèrdua o alteració accidental de les dades personals.
  • Pot permetre la comunicació, revelació o accés no autoritzats a fitxers o tractaments de dades personals.

Mesures de seguretat

El RGPD exigeix als responsables de tractament de dades que apliquin les mesures jurídiques, tècniques i organitzatives necessàries per garantir la seguretat de les mateixes.

Però la seguretat ha d’ampliar-se més enllà de la protecció de dades i ha d’envoltar tots els actius de l’empresa, començant per els actius intangibles que són molts i molt valuosos: plans de màrqueting, patents, relacions amb clients, proveïdors, partners i institucions, dades (per exemple, llistes de clients potencials), desenvolupament de software, marques  i un llarg etcètera. Aquest patrimoni es pot protegir ampliant les mesures de seguretat que apliquem a les dades.

Privacitat,  ciberseguretat i el factor humà.

La ciberseguretat és un mitjà per protegir a les organitzacions i a les persones. Les mesures són, com dèiem, jurídiques, organitzatives i tècniques. I el factor clau és, com sempre, l’humà. Perquè està a la seva mà implementar les mesures i, alhora, és l’actiu final a protegir. Les mesures de ciberseguretat són del tot imprescindibles però, de la mateixa manera, les persones hem de de ser conscients de la necessitat de protegir-nos davant de pràctiques com l’enginyeria social, el phishing, l’explotació de les xarxes socials i tantes altres pràctiques que només busquen fer-se amb les nostres dades per obtenir un benefici il·licit. Segons el 2022 Data Breach Investigations Report de Verizon, en el 82% de les bretxes va estar implicat el factor humà, inclosos atacs socials, errors i mal ús.

Mesures tècniques bàsiques

  • Ús de contrasenyes segures i doble factor d’autenticació
  • Còpies de seguretat
  • Sistemes actualitzats
  • Exposició de serveis a Internet
  • Xifrat de dispositius

¿Què hem de fer si patim una bretxa de seguretat a ? Protocol AEPD

Partint del supòsit que la nostra empresa està adequada al RGPD, l’article 33 ens imposa l’obligació de notificar l’incident a l’autoritat de control quan sigui probable que aquest constitueixi un risc per els drets i llibertats de les persones, en un termini inferior a les 72h. des de que en tinguem constància.

L’AEPD té publicada una Guia per la notificació de bretxes de dades personals.

Vigilem les nostres dades i, com sempre, cuideu-vos!

 

 

 

 

Si no pagues els serveis amb diners, ho fas amb les teves dades!

per

Això no és nou. Des de fa temps sabem que tot allò que ens donen “gratuïtament” ho estem pagant amb les nostres dades personals. Ens baixem una app per fer, posem per cas, de brúixola i ens demanen consentiment per accedir a les nostres dades, als contactes, a la nostre ubicació, a les fotografies i els vídeos i a un llarg etc. de dades.  

Tenint en compte que en el nostre telèfon tenim de mitja unes dos-centes aplicacions instal·lades, ja ens podem anar fent una idea de l’escampada de dades que hi ha.

Però tampoc cal que sigui una app, ni tan sols que la transacció es faci a Internet. Les targetes de pagament com VISA o les de fidelització de qualsevol comerç, acumulen al llarg del temps una gran quantitat de dades que permeten fer perfils molts acurats dels individus.

Què mengem, quants som a casa, de quines edats, estatus econòmic, dificultats per arribar a final de mes, quines són les nostres preferències en alimentació, viatges, música i tantes altres coses. I tot a canvi de miserables punts o algun descompte de tant en tant.

Fins aquí tot el que sabíem però ara, CaixaBank, ens ha obert encara més els ulls. I de manera francament desagradable, per dir-ho suaument. Perquè l’Agència Espanyola de Protecció de Dades l’ha sancionat amb 2.100.000€ per condicionar la prestació del consentiment als seus clients. Una multa de 2.000.000€ per condicionar l’obtenció del consentiment a l’exempció de comissions bancàries. I, una segona, perquè en el formulari de consentiment les caselles estaven premarcades. Pràctica molt habitual (també passa amb les cookies) que, en aquest cas, ha estat sancionada amb 100.000€.

Sí, heu llegit bé. Segons l’AEPD, el banc condicionava l’exempció de comissions a l’atorgament del consentiment per part del client per rebre comunicacions comercials i per cedir les seves dades a les entitats del Grup Bankia. El Reglament Europeu, diu clarament que “el consentiment quedarà invalidat per qualsevol influencia o pressió inadequada exercida sobre l’interessat que impedeixi que aquest exerceixi la seva lliure voluntat”. L’Agència valora com agreujant el gran número de clients, prop d’un milió, que havien prestat el consentiment per rebre publicitat i cedir les dades a Bankia.

La segona multa es deu q la inobservança del requisit d’obtenir el consentiment d’una manera lliure, específica, informada i inequívoca, incomplint el RGPD per quant “el silenci, les caselles premarcades o la inacció no han de constituir consentiment”. Aquesta invalidesa comporta una falta de legitimació que infringeix l’article 6.1 RGPD.

Aquestes notícies creen neguit en la societat, més si venen d’una institució que molts considerem senyera. D’una empresa de referència com aquesta i per la naturalesa del seu negoci, s’espera que, a més complir la normativa vigent, apliquin els més alts estàndards ètics en el tracte als seus clients. La sanció econòmica no tindrà més transcendència però la reputació del Banc se’n veurà afectada.  

Com diu el xef José Andrés, “lo important és que ens cuidem els uns als altres”. Podem començar perquè les empreses ens cuidin. I, no descuidem, vigilar nosaltres mateixos!

Google no oblida. L’AEPD tampoc …

per

L'Agència Espanyola de Protecció de Dades (AEPD) l'acaba de sancionar a Google amb una multa rècord de 10 milions d'euros per cometre dos infraccions molt greus: una, per cedir dades a tercers i l’altre per obstaculitzar amb un formulari confús que la tecnològica posava a disposició dels usuaris, precisament, per exercir el dret a l'oblit.

Dos infraccions molt greus contra la normativa de protecció de dades que suposen una multa rècord de 10 milions d’euros per cedir dades a tercers sense legitimació per fer-ho i obstaculitzar el dret de supressió dels ciutadans, vulnerant els articles 6 y 17 del Reglament General de Protecció de Dades (RGPD).

Pel que fa a la primera, la cessió inconsentida de dades, l’Agència ha constatat que Google envia al Projecte Lumen informació de sol·licituds que li fan els usuaris, incloent-hi la identificació, adreça de correu electrònic, motius al·legats i la URL reclamada. La finalitat del projecte és la recollida i posada a disposició de sol·licituds de retirada de contingut en una base de dades accessible al públic, el que, en la pràctica, suposa frustrar la finalitat del dret de supressió.

Recordem que el dret a l’oblit permet sol·licitar, en determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el teu nom. L’exercici d’aquest dret no elimina el contingut en sí però, al no estar disponible en els motors de recerca dels indexadors (Google, Bing, Yahoo, etc.), ho fa més difícil.

Lumen Database disposa d’un cercador de reclamacions que s’allotgen a la seva base de dades que es pot consultar per diversos paràmetres (paraules clau, remitents, temes, ...)

De manera que, si pots trobar-ho a la base de dades de Lumen ja no existeix el dret a l’oblit.

Pel que fa a la segona, l’exercici del dret mitjançant el formulari que ofereix Google, l’AEPD ha entès que és complex, confon a l’usuari i feia molt difícil que es pogués exercir el dret a l’oblit correctament. El sistema conduïa a l’interessat a través de diverses pàgines per complimentar la sol·licitud, sense mencionar la normativa de protecció de dades de referència, obligant-lo a marcar opcions que se li oferien sense explicacions.

Com resultat d’aquest procediment, queda a criteri de Google la decisió de quan s’aplica i quan no el RGPD, de forma que “acceptar el dret de supressió de dades personals queda condicionat per el sistema d’eliminació de continguts per part de l’entitat responsable”.

Segons Google, ja han començat a “reavaluar i redissenyar les pràctiques d’intercanvi de dades amb Lumen a la llum de les consideracions de l’AEPD”. De les consideracions i, apuntem, de la sanció.

Siguem curosos amb la nostra informació perquè quan aquesta es publica a Internet ja no queda a les nostres mans. Com sempre, cuideu-vos!

‘Fake news’ i empresa, què hem de saber?

per

Temps enrere vam parlar de les deepfakes i ara volem fer una ullada a com les ‘fake news’ poden afectar a les empreses.

Estem, i cada dia més, entrant de ple en l’era de la infoxicació (overload Information). Aquest neologisme fa referència al concepte de sobrecàrrega informativa que té lloc quan la quantitat o la intensitat d'informació excedeixen la capacitat limitada de processament de l' individu, la qual cosa pot provocar efectes disfuncionals. El terme el devem a Alfons Cornella, fundador del Institut Next.

Mitjans competint per l’audiència i per omplir parrilles i milions d’usuaris que, de cop i volta, ens hem tornat periodistes, comentaristes, influencers i no sé quantes coses més. I, com és natural, les xarxes socials han elevat la infoxicació a l’enèsima potència.

Afegim-li els esdeveniments extraordinaris que d’ençà a uns anys estem vivint: pandèmia, naturalesa desfermada, guerra, crisis climàtica i un llarg reguitzell que afegeix pressió a la caldera informativa.

Tos aquest cúmul de circumstàncies fa que cada cop siguem menys curosos amb la verificació de la informació que rebem, no tenim temps, ni ganes, de contrastar-la ni molt menys de refutar-la. I ja tenim un excel·lent caldo de cultiu per les fake news.

Però tot això, que en l’esfera privada pot tenir conseqüències que van des de lleus (s’anuncia de forma falsament intencionada que un jugador fitxarà per un altre equip la propera temporada) a molt greus (com pot ser l’assetjament sexual), en el cas de les empreses els efectes poden ser devastadors si no es prenen mesures.

En efecte, a l’empresa hi ha dos vessants, com a mínim, que s’han de cobrir. D’una banda, la difusió per part de la nostra empresa de informacions falses: alertar d’una suposada escassetat d’un producte per fer-ne pujar el preu, difondre notícies negatives sense fonament sobre un competidor o fer publicitat denigratòria. En aquests casos podríem estar infringint una sèrie de normatives que van des de la Llei General de comunicació audiovisual (art.61) a la Llei de Competència deslleial (art 27.3), entre altres.

I, a contrari sensu, la nostre empresa en pot ser l’afectada. Sigui per alguna noticia falsa de les esmentades, que totes tindran recorregut en els tribunals amb les conegudes dificultats probatòries, o, i això és més subtil, que una informació no contrastada ens porti a prendre una decisió desencertada amb el conseqüent perjudici econòmic o, pitjor, reputacional.

En aquest punt, cal fer unes recomanacions per intentar minimitzar els possibles perills. Partir del convenciment que no tot el que es publica, amb independència del mitjà, es fiable i aplicar grans dosis d’escepticisme i sentit comú acostuma a ser un bon començament. Recórrer a la font original (i sospitar si no es cita), buscar la informació en altres fonts, distingir entre informació i opinió i no creure per defecte aquella informació que s’adapta al nostre biaix poden ser bones guies per no caure en el parany.

Des de notícies falses per intentar manipular eleccions fins a notícies alarmants a propòsit del COVID estem sotmesos a una pluja de informacions que necessàriament hem de contrastar si volem evitar situacions adverses, tant en el pla personal com en el professional.

Potser ens convindria un 'detox' informatiu. Mentrestant i com sempre, cuideu-vos!

UE – EEUU, llum al final del túnel?

per

Pocs dies enrere, va saltar la noticia que la UE i els EEUU havien arribat a un acord per transferir, entre els dos espais, dades personals, garantint-ne la privacitat. La transferència de dades estava suspesa des del passat 2020, quan el Tribunal de Justícia de la Unió Europea (TJUE) va anul·lar l’acord anomenat “Privacy Shield” al considerar que els EEUU no oferien suficients garanties per la privacitat dels ciutadans europeus.

Aquest anunci del President Biden s’ha de prendre, com sempre, amb molta cautela, per varies raons. Primer, perquè per el que sembla, estem davant d’una declaració d’intencions. Segon, perquè, de ser així, hi ha molta feina per endavant i no és una qüestió que es resoldrà en unes setmanes. I, tercer, perquè, o molt ens equivoquem però costa creure que Max Schrems (l’activista que va impulsar les demandes que van donar origen a l’anul·lació) es conformi sense presentar batalla.

Ja n’hem parlat de la qüestió en diverses ocasions (1,2,3,4) però fem un resum de com hem arribat fins aquí.

Tot i que el RGPD preveu altres mecanismes per blindar la privacitat de les dades en les transferències internacionals (per exemple, les SCC –Standard Contractual Clauses– o les BCR –Binding Corporate Rules) és evident que un acord marc d’adhesió per part de les empreses americanes com el Privacy Shield facilitava molt les coses, a tots dos costats de l’Atlàntic. Les empreses americanes només tenien que adherir-se amb un auto-certificat a els principis establerts per el Departament de Comerç dels EEUU. I les empreses, a més de complir amb les seves obligacions, només tenien que assegurar-se que l’empresa que tractava les dades estava en la llista. Aquest plantejament va saltar per els aires el juliol del 2020 amb l’esmentada sentencia.

I que suposa que l’Escut de Privacitat no estigui en vigor? Doncs que anem cap a dos anys d’incompliment continuat. Google, Facebook, Mailchimp i totes les empreses americanes que donen servei a empreses europees estan en fals. I les empreses europees estan, directament, incomplint perquè transfereixen dades sense garanties. De vegades de forma molt grollera com pot ser el cas de Mailchimp i d’altres, de forma més subtil com pot ser fent servir Google Analytics.             

I que diu el comunicat que pretén resoldre la situació?

Doncs literalment diu que "Avui hem aconseguit un acord sense precedents sobre la protecció de la privadesa de les dades i la seguretat dels nostres ciutadans". L’acord “permetrà el flux de dades entre la UE i els EUA de forma predictible, fiable, equilibrant la seguretat, els drets a la privadesa i la protecció de dades", va assegurar Von der Leyen. I, segons Biden, que es reprengui el flux de dades tindrà un impacte positiu estimat en uns 6.500 milions d’euros.

Interessos econòmics versus privacitat. I, està clar, al final hem d’aconseguir el millor d’ambdós aspectes: permetre el la transferència de dades sense perjudicar a les empreses i la seva economia però mantenint la privacitat que emana del RGPD. Per aquesta és la garantia de la prosperitat per les economies occidentals.

Com sempre, vigileu les vostres dades i cuideu-vos!

Del intèrfon al Whatsapp?

per

Dic lo del intèrfon perquè encara no el sabem fer anar correctament i ara cada dia hem d’aprendre coses noves. Doncs bé, avui toca repassar el Whastapp, que tots fem servir, perquè hi ha aspectes dels quals potser no en som conscients i ens poden ocasionar problemes. Hi ha conductes, fins i tot, que es poden tipificar com a delicte i tenir conseqüències penals.

Més enllà de qüestions bàsiques com la de demanar el consentiment per afegir a alguna persona a un xat grupal (exemple clàssic són el grup de pares de la classe o el grup de viatge, en el marc de la normativa de protecció de dades) o la difusió d’imatges íntimes, amb o sense consentiment (que vulnera l’article 197.7 del nostre Codi Penal) i ha altres conductes més desconegudes que també poden comportar conseqüències.

Parlem, per exemple, de pràctiques molt habituals com és el compartir fotografies i reenviar captures de pantalla amb converses alienes, i arxius, mitjançant Whatsapp. Són infraccions, sinó delicte, quan es fa sense el consentiment dels afectats i són especialment greus quan les dades es difonen de manera oberta i a un gran nombre de destinataris. Sense oblidar la protecció dels menors i les persones vulnerables.

En aquests supòsits podríem estar lesionant el dret a la intimitat o al honor de les persones implicades. També pot ser delicte difondre àudios, vídeos o simplement imatges d’un tercer sense consentiment. En el casos més greus es pot incorre en un delicte de descobriment i revelació de secrets.

Un altre conducta a la que em vull referir és a l’espionatge del mòbil d’una altre persona. Accedir al contingut d’un mòbil aliè i fer-se amb la informació que conté –fotos, vídeos, converses, etc. ­és delicte si no estàs autoritzat  per el propietari del dispositiu. Si a més es reenvia la informació a altres persones també es comet una il·legalitat, fins i tot la cometen els qui la difonen encara que no hagin participat en la seva obtenció. Recordem alguns exemple, de vegades molt tristos, com el de la treballadora d’Iveco o el d’Amanda Todd.

Respecta a l’espionatge, val a dir que el Codi Penal castiga fins i tot la mera adquisició de programes o contrasenyes destinats a facilitar l’accés al dispositiu d’una altre persona. Però si,  a més, s’instal·len i es descobreix la intimitat del propietari, estaríem davant d’un delicte de descobriment i revelació de secrets recollit en el citat article 197 del Codi Penal que preveu penes de presó d’un a quatre anys i multa de dotze a 24 mesos. No és cap broma.

Ens deixem en el tinter molts altres conductes habituals que tenen caràcter d’il·lícites com poden ser les amenaces, les injuries, les calumnies, el grooming (entabanar menors perquè facilitin material sexual explícit) , el stalking (assetjament) i altres.

La tecnologia posa en les nostres mans mitjans que fins fa poc eren ciència ficció. Hem d’aprendre a fer-los servir i, sobretot, formar als menors perquè, des de la inconsciència pròpia de l’edat, hi ha conductes que, més enllà del seu retret penal, poden tenir greus conseqüències per les persones afectades. Com sempre, sentit comú i prudència.

Apreneu, també, com funciona l’intèrfon que va sent hora. Cuideu-vos!

Quan la realitat supera a la ficció, un cop més

per

La RAE recull en el seu diccionari, sota la primer accepció de realitat, la “existència real i efectiva d’alguna cosa”. I, en la segona, “veritat, el que passa veritablement”. I per realitat virtual, la “representació d'escenes o imatges d'objectes produïda per un sistema informàtic, que fa la sensació de la seva existència real”.

Ve això a tomb de algunes notícies aparegudes als mitjans en els últims dies referides als “deepfakes”.  El terme es va popularitzar l’any passat arrel de l’aparició a la xarxa social TikTok del compte “deeptomcruise” que en qüestió de minuts es tornar viral amb milions de seguidors.

En el compte es poden veure imatges del famós actor fent trucs de màgia, tocant la guitarra, promocionant productes de neteja industrial i altre activitats, totes elles amb el denominador comú de ser falses o, com es diu ara, “fakes. Això amb un realisme inquietant per les possibilitats, tant bones com dolentes, que se’ns poden ocórrer.

Tant és així que provoquen l’efecte que es denomina “uncanny valley”. Una hipòtesi que afirma que quan les rèpliques antropomòrfiques se apropen en excés a l’aparença i comportament d’un ser humà real, causen una resposta de rebuig entre els observadors humans. Val la pena visualitzar alguns vídeos per fer-nos una idea fins on pot arribar aquesta tecnologia que no ha fet més que començar.

De fet, segons Scientific American, “els humans troben les cares generades per IA més fiables que les reals”. La veritat és que les imatges generades per ordinador amb Intel·ligència Artificial són pràcticament indistingibles de les cares humanes.

I aquesta tecnologia planteja moltes qüestions a les que se’ls haurà de donar resposta. Perquè això va més enllà del Photoshop o dels extraordinaris efectes especials als que Hollywood ens ha acostumat en els darrers anys. Ara qualsevol pot, de forma molt fàcil i econòmica (a Internet hi ha molts programes per fer-ho), substituir una cara en un vídeo o en una foto i que resulti imperceptible al espectador.

Tecnologia que permet des de fer una broma o divertir-se posant la pròpia cara a un personatge de ficció en el cine (podem ser Rick o Ilsa a Casablanca, per exemple) fins a fer campanyes de desinformació (polítiques o d’una altre mena), creació d’escenes porno falses per fer xantatge o qualsevol altre actuació orientada al frau, a l’abús o qualsevol iniciativa orientada a extorquir a un altre.

Naturalment, com amb qualsevol nova tecnologia, ja han sortit al mercat eines per ajudar a identificar els “deepfakes” i ha començat la guerra entre dos tecnologies oposades. I també, com era previsible, ja surten veus que proposen prohibir la tecnologia per els perills que pot comportar. Prohibició que, òbviament, tindrà poc recorregut. Crec més possible la instal·lació en el dispositiu d’un programari tipus antivirus que detecti els deepfakes, de manera que no siguem presa dels delinqüents.

I això, a ben segur, no ha fet més que començar.

Com sempre, cuideu-vos!

Què en saps de Google Analytics?

per

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies  de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren  transferits al Estats Units sense suficient garanties de protecció.  El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes  Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!  

Publiques fotos dels teus treballadors a la web o a les xarxes socials?

per

Doncs cal anar en compte. L’AEPD ha sancionat a una empresa amb 9.000 euros per publicar a la seva web i xarxes socials fotos d’un treballador sense el seu consentiment.

Perquè publicar imatges d’un treballador sense permís és sancionable però no fer cas de les peticions per retirar-les encara més. Això és el que li ha passat a una empresa de formació que ha estat sancionada amb 9.000 € per tractar les dades del treballador sense consentiment (6.000 €) i no atendre les demandes per eliminar las imatges de les xarxes socials (Facebook i Instagram), uns altres 3.000 €. A més del cost reputacional, és clar. No és cap broma.

Així ho ha entès l’AEPD en la seva Resolució de Procediment Sancionador. L'empresa va publicar fotografies de la treballadora sense consentiment. I la treballadora va demanar a l’empresa, al menys en dos ocasions, que retiressin les fotografies en les que apareixia, sense que l’empresa atengués la seva petició. Després de intentar-ho una segona vegada, de nou sense èxit, la treballadora afectada va presentar una reclamació, el novembre de 2020, davant l’AEPD.

L’Agència va intentar posar-se, per diferents vies, en contacte amb l’empresa sense aconseguir-ho. Va quedar acreditat que l’empresa havia dut a terme un tractament de dades consistent en haver pujat les fotografies a la seva pàgina web i a les seves xarxes socials. No consta que l’exhibició de les imatges estigués emparada per cap base legitimadora del art. 6 RGPD (per exemple, el consentiment), quedant acreditada la comissió de la infracció.

Per agreujar-ho més si és possible, l’empresa no va atendre el dret de supressió de la interessada, emparat per l’article 17 RGPD, i no va excloure les dades personals del seu tractament. Segons aquest article “l'interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin”. I el responsable estarà obligat a suprimir sense tardar les dades personals quan, entre altres condicions, es doni la que recull l’apartat “d) les dades personals hagin estat tractades il·lícitament”.

Per graduar les sancions, l’Agència considera que els tractaments venen de lluny -des del 2017 al 2020-, la quantitat no és escassa i l’abast és important ja que figuren en dos xarxes socials i la pròpia web de l’empresa. Respecte a la infracció per no atendre el dret de supressió de l’article 17 RGPD, l’Agència relata que es va sol·licitar en dos ocasions, sense obtenir cap resposta, el que posa de manifest un manca de compliment en els deures que li corresponen a l’empresa.

Aprenguem la lliçó. No es poden publicar imatges dels treballadors sense el seu consentiment. Atenguem les peticions de supressió que ens facin. La manca de diligència és imperdonable. I un recordatori. Quan un treballador deixa l’empresa (acomiadat o per voluntat pròpia), recordem suprimir les imatges en les que apareix (web, xarxes, fulletons, anuncis, etc.). Tret, es clar, que no tinguem el seu consentiment exprés.

Com sempre, Cuideu-vos!

Revisió Texts legals web