Complir amb el Reglament General de Protecció de Dades quan fem e-mail màrqueting, no és complex. Només cal observar unes bones pràctiques i afegir-hi dosis de prudència i sentit comú. A continuació en repassem algunes.

1. Mantenir llistes netes demanant confirmació (“double opt-in“)

Quan l’interessat ens envií les seves dades a través d’un formulari, enviem un correu de confirmació en el que ha de confirmar la seva subscripció. Així tindrem llistes més netes i confiables.

2. Processar les dades personals sota la base de legitimació correcte

Podem tractar les dades dels interessats per diferents propòsits però hem de determinar sempre quina és la base legal que ens legitima a fer-ho: Consentiment inequívoc, Necessitat contractual, Obligació legal, Interès legítim, Interès públic i Interès vital de l’interessat.

3. Obtenir el consentiment explícit abans de enviar correus de màrqueting

Si la base legal és la de Consentiment inequívoc, enviem els e-mails de consentiment als subscriptors. D’aquesta manera, ens assegurem que aquells subscriptors que han mostrat interès, per exemple en fires, convencions, webinars, …, han expressat explícitament el seu consentiment per rebre les nostres comunicacions. I haurem d’oferir també la possibilitat de denegar el consentiment.

4. Informar a l’usuari

L’usuari té el dret a que se l’informi, expressament o per remissió a la Política de Privacitat, de qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los. A més de complir amb la normativa, generem confiança en l’usuari.

5. Ser transparents amb les dades dels usuaris

En virtut al Dret d’accés que reconeix el RGPD, l’usuari te que poder accedir a les seves dades personals quan ho demani. Pot demanar, també, que se li facilitin aquestes dades en format digital, llegible per màquines.

6. Dir clarament qui som

Facilitem les nostres dades: nom de l’empresa responsable de les dades, CIF, adreça electrònica (específica per protecció de dades) i postal i un número de telèfon de contacte. Generem confiança i facilitem la comunicació.

7. Explicar d’on hem tret les dades

O, el que és el mateix, explicar als subscriptors com els hem conegut i perquè estan en la nostra llista.

8. Deixem triar el que volen rebre

Diferenciem la nostra oferta de manera que es pugui triar, amb una acció positiva, la informació que els subscriptors volen rebre, sense condicionar-ho. Fem-ho fàcil per tothom.

9. Permetre la modificació / eliminació de dades personals

Els subscriptors ens podem demanar modificar o eliminar la seva informació personal dels nostres registres. Són drets que recull el RGPD. I és la nostra obligació facilitar els mecanismes necessaris per poder exercir-los.

10. Protegim la informació

La protecció de les dades és un aspecte clau del RGPD. Hem de tenir cura d’emmagatzemar les dades personals amb la màxima seguretat, controlant-ne l’accés, xifrant-la i fent les preceptives còpies de seguretat.

11. Garantir-ho tot amb una Política de Privacitat

A totes les comunicacions hem d’afegir-hi un enllaç a la Política de Privacitat. I a l’hora de recollir el consentiment, hem de disposar d’una casella que l’usuari ha de marcar conforme ha llegit i accepta la Política de Privacitat. Aquesta Política ha d’explicar, com a mínim, qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los.

Primera sanció de l’AEPD per no complir la normativa respecte a la utilització de cookies a la seva pàgina web a la companyia Vueling.

Segons l’usuari denunciant, “la web de la companyia no permet utilitzar les galetes estrictament necessàries i més vaga una acció afirmativa i positiva que no es pugui mal interpretar el consentiment i l’assumeixen simplement en visitar la seva pàgina web”.

Un cop realitzades les comprovacions, segons l’Agència, l’empresa no compleix amb les condicions que imposa la normativa en vigor. En els fonaments de dret diu que “si s’accedeix a la segona capa, el consentiment a què es cedeixin dades a tercers a través de galetes és implícit, ja que en cap moment dóna l’opció de poder oposar-se a la instal·lació d’aquestes en el dispositiu o de qualsevol altra galetes “.

A més, no facilita un sistema de gestió o panell de configuració de galetes que permeti a l’usuari eliminar-les de forma granular. Per facilitar aquesta selecció el panell podrà habilitar un mecanisme o botó per rebutjar totes les galetes, un altre per habilitar totes les galetes o fer-ho de forma granular per poder administrar preferències.

Els fets exposats, prossegueix l’Agència, podrien suposar per part de l’empresa reclamada, la comissió de la infracció de l’article 22.2 de la LSSI¹, segons el qual: “Els prestadors de serveis podran utilitzar dispositius d’emmagatzematge i recuperació de dades en equips terminals dels destinataris, a condició que els mateixos hagin donat el seu consentiment després que se’ls hagi facilitat informació clara i completa sobre la seva utilització, en particular, sobre les finalitats del tractament de les dades, d’acord amb el que disposa la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal “.

Aquesta Infracció aquestes tipificada com a lleu en l’article 38.4 g), de la citada Llei, que considera com a tal: “Utilitzar dispositius d’emmagatzematge i recuperació de dades quan no s’hagués facilitat la informació o obtingut el consentiment del destinatari del servei en els termes exigits per l’article 22.2. “, podent ser sancionada amb multa de fins a 30.000 €, d’acord amb l’article 39 de l’esmentada LSSI.

Finalment, l’Agència, després de les evidències obtingudes en la fase d’investigacions prèvies, considera que procedeix graduar la sanció a imposar en la quantia de 30.000 €. Com sigui que hi ha hagut reconeixement de la responsabilitat per part de l’empresa, la sanció s’ha reduït fins als 18.000 €.

Llegir la Resolució completa aquí.

¹ LSSI: Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic

Ricard Castellet, director de TecnoLaywer, ha impartit una formació sobre Protecció de Dades i Ciberseguretat en el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

Els agents de la propietat immobiliària han conegut de primera mà les bligacions en matèria de protecció de dades personals que han de complir, així com les mesures organitzatives i tècniques que aquests han de realitzar per a adequar la seva activitat a la normativa vigent. També ha informat sobre algunes de les primeres sancions – apercebiments i multes- que ha imposat l’AEPD (Agencia Española de Protección de Datos) a empreses de diferent tipologia.

La sessió s’ha complementat amb un taller pràctic per a resoldre les qüestions específiques de les agències en l’aplicació de la normativa. Així mateix, s’ha introduït el concepte de ciberseguretat per a conscienciar a les agències sobre la seva vulnerabilitat dels equips i programari respecte als ciberatacs.

Aquesta formació s’imparteix en el marc del conveni de col·laboració de TecnoLawyer amb el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

A finales de abril de este año, se han conocido las primeras resoluciones sancionadoras emitidas por la Agencia Española de Protección de Datos (AEPD) en las que se aplica la nueva normativa de protección de datos. Las sanciones impuestas son multas o apercibimientos.

Los principales actos sancionados con multa han sido por las siguientes causas:

Por enviar a una persona al fichero de morosidad:

• Infringiendo el principio de exactitud de los datos 5.000 €- (a Vodafone)
• Vulnerando el consentimiento 28.000 €-
• Vulnerando el principio de calidad en relación con los ficheros de morosidad 24.000 €-.
• Por incumplir los requisitos para enviar una persona al fichero de morosidad 2.500€-

Por recibir más de 200 SMS a pesar de que había ejercitado del derecho de cancelación del servicio

• Por falta de diligencia en el tratamiento de datos al no ejercer el derecho de cancelación de un servicio 45.000 €-. (a Vodafone)

Vodafone es una de las empresas que más sanciones sufre en materia de protección de datos

Las sanciones con multa tienen una reducción del 20% por reconocimiento de responsabilidad y de otro 20% por pago voluntario.

Los principales actos sancionados con apercibimiento -sin sanción económica- han sido por las siguientes causas:

Videovigilancia

• Por grabar en la vía pública y en algún caso por no informar de ello. Se han sancionado con apercibimientos a bares, tabernas y particulares.

Envío de correo electrónico sin copia oculta

• Por envíos a direcciones de correo electrónico sin ocultar las direcciones de los destinatarios por parte de pequeñas empresas. Ninguna de ellas había sido comunicada como brecha de seguridad.

Brechas de seguridad

• Por utilización de terminales de teléfono expuestos a disposición de potenciales clientes desde los que se podía acceder a datos personales de empleados y clientes por parte de 2 tiendas de teléfonos móviles
• Por tener en la basura documentos con datos personales de alumnos por parte de una cooperativa que gestiona un centro de enseñanza. La policía local vio como las trabajadoras de la limpieza tiraban a la basura los documentos y denunció al colegio ante la AEPD. La Junta Directiva tuvo que ser destituida por este motivo.

Imágenes de menores

• Por tomar fotografías a un menor de 5 años sin consentimiento de quien ostenta la patria potestad por parte de una feria de atracciones.
• Por realizar fotos de menores, sin consentimiento, para comercializar unos calendarios denunciado por parte del AMPA. Las familias habían dado el consentimiento al colegio, pero no al AMPA. El padre de uno de los menores interpuso reclamación ante la AEPD.

Publicación de datos en la web

• Un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa
• Publicación en la web de una asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales

En vista de estas actuaciones, para las sanciones con apercibimiento parece ser suficiente con que se acredite la toma de medidas organizativas y/o técnicas o bien se informe de la intención de no volver a incurrir en la acción sancionada.

Estas han sido las primeras sanciones que se han dado a conocer. Se prevé que, a partir de septiembre, la acción sancionadora de la AEPD se intensifique.

Con efecto a partir del próximo 12 de mayo de 2019, el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, modifica el art. 34 del Estatuto de los Trabajadores, instaurando el deber de la empresa de garantizar el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria existente.

El objetivo es, por una parte, computar las horas extraordinarias de los trabajadores mediante el registro de las horas realizadas cada día y, por otra, controlar el tiempo de trabajo de los trabajadores a tiempo parcial.

Como es natural, los especialistas en Derecho laboral nos darán las pautas a seguir desde su punto de vista. Lo que a nosotros nos preocupa, como no, son las vulnerabilidades en materia de protección de datos que la nueva obligación plantea.

Y lo hace, al menos, en tres aspectos.

1. La forma de registro
2. La conservación de la información
3. La disponibilidad de los registros.

1. La forma de registro queda a discreción de la empresa (previa consulta a los trabajadores). Y puede ser desde una simple hoja de Excel hasta un sofisticado sistema de geolocalización, pasando por controles biométricos (Art. 9.1.a) RGPD[1]) u otros. En este aspecto, el peligro proviene de utilizar medios invasivos o claramente desproporcionados como, por ejemplo, el control por huella digital o reconocimiento facial o la monitorización constante mediante sistemas de geolocalización.

2. La conservación de la información es el segundo aspecto a tener en cuenta. Aunque los datos no sean de categoría especial (se recogen habitualmente el nombre, la fotografía, número de empleado, etc.), debemos conservarlos adecuadamente (como con todos los datos personales). Si guardamos datos biométricos o similares, la conservación debe ser especialmente segura. Hay que tener en cuenta que la norma exige su conservación por el plazo de cuatro años.

3. La disponibilidad de los registros es el último. Dice la normativa que estos deben permanecer a disposición del trabajador, sus representantes y la Inspección de Trabajo y Seguridad Social. Esta disponibilidad conlleva ciertamente peligros desde la óptica de la protección de datos como son el acceso a los registros por personas no autorizadas o la distribución de forma inadecuada.

Para concluir, unas recomendaciones generales, entendiendo que cada empresa es un mundo y que no es lo mismo, por ejemplo, una empresa de servicios que una empresa industrial.  Por lo que respecta al registro, buscar un sistema mínimamente invasivo, que no haga uso de datos biométricos. Siguiendo el Reglamento, usar los datos mínimos imprescindibles. En cuanto a la conservación –y la disponibilidad–, es recomendable utilizar medios tecnológicos contrastados (descartamos el papel y la hoja de Excel), que permitan demostrar el cálculo de horas sin posible manipulación y que se puedan facilitar, a terceros, sin poner en peligro la información (distribución seudonimizada). Una app en la nube podría ser la mejor solución. Pero solo es una opinión.

Como consultores en Derecho Digital, estamos al servicio de la empresa. Podéis contactar con nosotros en info@tecnolawyer.com. Estaremos encantados de prestaros ayuda.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)

Si nadie, ni siquiera los abogados*, leemos los Términos y Condiciones, ¿qué sentido tiene ponerlos? Porque no solo hay que leerlos, sino entenderlos. Y solo en el supuesto que estés de acuerdo podrás instalar la app o acceder a la web.

Según un estudio de la Carnegie Mellon, la extensión media de las políticas de privacidad es de unas 2.500 palabras. Se estima que un lector medio puede leer alrededor de 250 palabras por minuto de promedio. Es decir, necesitamos 10 minutos para leer la política. Teniendo en cuenta que visitamos de promedio unas 1.400 webs y apps al año, necesitamos, en términos de jornadas laborales de 8 horas, unos 76 días de trabajo para completar la tarea. Si lo trasladamos a términos económicos, según la universidad, el coste de oportunidad de leer las políticas de privacidad en USA estaría alrededor de 800.000 millones de dólares.

Estamos ya en la economía del dato y nuestras actividades en el entorno digital pueden revelar información nuestra de formas insospechadas. Las empresas pueden conocer datos nuestros pero también datos de otras personas de nuestro entorno que no han aceptado siquiera los términos y condiciones. Roomba podría mapear nuestro hogar y esa información ser compartida con, por ejemplo, fabricantes de muebles o compañías de seguros. O Uber que podría modificar el precio del trayecto en función del nivel de batería de nuestro teléfono. Y solo son dos ejemplos.

Los ciudadanos no podemos defendernos solos ni estar gobernados por los términos y condiciones de las grandes, y no tan grandes, empresas y corporaciones. Por eso Europa lidera, a nivel mundial, el camino con el RGPD (y en España además con la LOPDGDD), en defensa de nuestros datos estableciendo unas garantías básicas que nos permitan vivir sin tener que leer, entender y aceptar toda la jerga legal de los términos y condiciones.

*Exceptuando a Jorge Morell Ramos de terminosycondiciones.es.

La Unión Europea ha informado que, desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, las brechas de datos no han parado de crecer en las empresas europeas, alcanzando casi los 60.000 casos.

Los incumplimientos van desde errores de menor calado hasta importantes ataques cibernéticos que han sido denunciados por organizaciones públicas y privadas de los 26 países de la Unión Europea

En el primer semestre de 2018 las brechas de datos afectaron a 4,5 millones de registros, según Gemalto Breach Level Index, lo que significa un 78% más que en el mismo periodo del año anterior.

Holanda es el país con mayor cantidad de brechas de datos por habitante, con un 89,8% por cada 100 habitantes. Liechtenstein, Islandia y Chipre son los países con una menor incidencia.

La UE ha dictado 91 multas relacionadas con brechas de datos, siendo la mayor de ellas la impuesta por el regulador francés a Google por valor de 50 millones de euros al haber infringido las normas de la UE sobre protección de datos de los consumidores.

En el Reino Unido el valor promedio de las multas impuestas por el regulador de datos británico fue de 166.650 euros en 2018, el doble que en el año anterior.

El impacto de las brechas de datos va más allá de las posibles multas, afectando no sólo a la tesorería sino también a la reputación de la empresa y, en muchos casos, a la pérdida de usuarios o clientes y las caída de las cotizaciones.

La Comisión Europea adoptó el pasado 23 de enero una decisión de adecuación para Japón, creando el mayor espacio de flujo de datos seguros del mundo. Esto significa que los datos personales fluirán libremente entre las dos economías sobre la base de garantías sólidas de protección.

Los elementos esenciales de la decisión de adecuación son, primero, un conjunto de normas adicionales que permitirán reducir algunas diferencias entre los dos sistemas de protección de datos, en particular, en materia de datos sensibles, ejercicio de derechos individuales y las condiciones de transferencia a terceros países. En segundo lugar, un mecanismo de tramitación de reclamaciones con el que se puedan investigar y resolver las reclamaciones de los ciudadanos europeos.

Vĕra Jourová, comisaria de Justicia, Consumidores e Igualdad de Género, declaró: “Esta decisión de adecuación crea la mayor área mundial de flujos de datos seguros. Los datos de los europeos se beneficiarán de unas normas de privacidad estrictas cuando sus datos se transfieran a Japón. Nuestras empresas también se beneficiarán de un acceso privilegiado a un mercado de 127 millones de consumidores. La inversión en la protección de la vida privada es rentable; este acuerdo servirá de ejemplo para las futuras asociaciones en este ámbito clave y ayudará a establecer normas mundiales.” 

Esta decisión de adecuación para Japón es relevante por tres motivos: el elevado número de consumidores de ambas economías, la potencia económica que representa Japón (PIB superior a los 4 billones de €) y el alto grado de penetración de la tecnología en su población. Estas tres variables hacen que para la UE esta iniciativa suponga una apuesta de confianza por el país asiático y por sus autoridades de protección de datos. 

Los avances legislativos en materia de Protección de Datos son constantes. La nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales ha pasado de ser una necesaria adaptación al RGPD a algo mucho más trascendente.

Se definen nuevos derechos y se establecen obligaciones y responsabilidades. En definitiva, se trata de recoger una realidad que evoluciona constantemente y que las empresas han de tener muy presente.

Las importantes novedades del Título X y el Derecho Digital

La definitiva aprobación de la LOPD, incluyendo el Título X de «Garantías de los derechos digitales», supone un importante paso adelante en la definición de derechos de los usuarios que va mucho más allá de los ya conocidos derechos ARCO. 

De hecho, se produce un traslado directo de los derechos fundamentales contemplados en la constitución al ámbito de un derecho digital. También se establecen responsabilidades y obligaciones, especialmente las referidas a los proveedores de servicios, y se definen figuras como el testamento digital. 

Entre las principales novedades que introduce este importante título podemos destacar las siguientes:

El derecho universal de acceso a Internet

Se establece el derecho de todos los usuarios a acceder a Internet en igualdad de condiciones y sin ningún tipo de discriminación por motivos técnicos o económicos. En consonancia con este derecho, que se expone en un formato equiparable al de los derechos fundamentales, se establece la obligación de los proveedores de servicios de hacer ofertas trasparentes y claras y de disponer los medios técnicos para facilitar este acceso a cualquiera y desde todos los lugares.

Derecho a la seguridad digital

Se regula el derecho a que las trasmisiones de información que realizan los usuarios tengan garantizada su seguridad, privacidad e inviolabilidad. Tal es el caso de las trasmisiones cifradas que realizamos habitualmente mediante aplicaciones tan comunes como whatsapp.

Derechos de los menores

Tienen un especial tratamiento y contemplan desde el derecho a la educación para la «plena inserción del alumnado en la sociedad digital», con especial atención a su educación en el respeto a los derechos y a la protección de los datos. Hasta la obligación de los padres y tutores de velar por un uso equilibrado de los medios digitales por sus hijos o el tratamiento de las imágenes e información personal que pueda ser lesiva para sus derechos fundamentales.

Otros muchos aspectos recogidos, con especial incidencia en el derecho al olvido, la protección de privacidad o la desconexión, hacen que las empresas deban asesorarse adecuadamente sobre el alcance de estos nuevos derechos y la protección de datos.

Derechos digitales en materia laboral

En este ámbito, la LOPDGDD introduce un número considerable de modificaciones en el plano laboral, especialmente en lo que concierne a los derechos digitales de los trabajadores. ASí lo explicamos en este post.