Privacitat – protecció de dades

Han començat a aparèixer ofertes de treball en les que es demana als candidats informació sobre si han passat el coronavirus i desenvolupat anticossos com requisit per accedir al lloc de treball proposat. L’Agència Espanyola de Protecció de Dades (AEPD) ja ha sortir al pas amb un comunicat en el que adverteix, com no pot ser d’altre manera, que aquestes pràctiques constitueixen una vulneració de la normativa de protecció de dades aplicable.

Segons explica l’AEPD,  la informació d’haver patit el coronavirus i desenvolupat anticossos d’aquesta malaltia és una dada personal relativa a la salut, que el Reglament General de Protecció de Dades (RGPD) qualifica de categoria especial en el seu article 9, pel que la seva recollida i utilització per la possible empresa ocupadora està subjecta a la normativa de protecció de dades, fonamentalment el citat RGPD i la Llei Orgànica de protecció de dades personals i garantia dels drets digitals (LOPDPGDD), que resulten plenament aplicables.

Per que es pugui dur a terme el tractament, el RGPD exigeix fonamentar-lo en el consentiment de l’interessat. Aquest consentiment ha de consistir en una manifestació de voluntat lliure, específica, informada i inequívoca. Però en el cas que ens ocupa, l’Agència entén que no hi ha veritable o lliure elecció o no es pot denegar o retirar el consentiment sense patir un perjudici o quan hi hagi un desequilibri clar entre les parts, com seria en aquest cas. Quan una persona va a buscar feina, la majoria de vegades es troba en un situació de inferioritat i vulnerabilitat que impedeix el consentiment lliure que exigeix la normativa.

A més de no existir base lícita, la finalitat tampoc seria legítima perquè la informació sobre la immunitat a la COVID-19 donaria lloc a una diferència de tracte que no obeeix a una justificació objectiva i raonable.

Per últim, l’Agència afirma que aquesta informació no s’ha d’incloure en el currículum perquè l’empresa destinatària tindria que suprimir-la per no infringir la normativa de protecció, el que podria suposar la destrucció del currículum.

Sembla clar que els efectes del coronavirus s’estendran durant mesos i ens donaran moltes sorpreses. I la majoria desagradables. Haurem de desempolsar els nostre particular manual de resiliència aplicada per superar-los.

Imatge Pixabay

Estem vivint temps complicats. Per molts de nosaltres és una situació inèdita i, tot sovint, angoixant. Ens hem tingut que fer al confinament, al teletreball i, com no, a l’ús intensiu de les tecnologies de la informació i la comunicació. Com deia en un post anterior, si alguna cosa té de bo la situació, si es pot dir així, és la decidida transformació digital a la que ens hem sotmès tots de la nit al dia.

Fins ara, termes com videoconferència, aplicacions grupals o VPN (xarxa privada virtual) eren termes que coneixíem de forma més o menys vaga. Ara parlem de Zoom, de Teams o de quina és la millor VPN com vertaders experts.

I precisament la pressió sota la que vivim combinada amb la necessitat de comunicar-nos, treballar i gaudir en el confinament ens posa en una situació vulnerable. I d’això en treuen profit des dels hackers amb el phishing  i altres estafes, com les empreses, en especial les tecnològiques. I molt especialment les de comunicacions com és el cas del que parlem avui.

Llegíem l’altre dia a la revista VICE que l’aplicació Zoom amb iOS envia dades a Facebook, fins i tot si no tenim cap compte de Facebook. I aquesta transferència de dades a Facebook no està explicada en la política de privacitat de Zoom.

Aquesta es una de les app que ha experimentat un creixement exponencial en aquesta crisis. Videochat amb família i amic¡s, reunions de grup de l’empresa, conferències i webinars, classes virtuals, serveis religiosos, cites a cegues i fins i tot comiats de solter, per citar algun dels serveis que presta Zoom aquests dies.

La creu de l’app està en la privacitat i la seguretat. No hi ha xifrat d’extrem a extrem (per la qual cosa pot veure la trucada)  I se està donant l’efecte “zoombombing”, es a dir, trolls que intervenen en les trucades difonen, pes exemple, pornografia.  Per rematar-ho, la companyia ha informat que Zoom permet compartir les dades de milers d’usuaris sense permís. Zoom agrupa automàticament els usuaris segons el domini pq entén que pertanyen a la mateixa empresa. I això, que te avantatges com connexió ràpida compartint correu, nom i fins i tot, fotografia, no sempre és així.

Les avantatges de Zoom són evidents, començant perquè és gratuïta per ús personal. Cal veure però si les mancances observades són tolerables i ens compensen. Cas contrari, buscar alternatives al mercat.

I, com sempre, prudència i sentit comú.

Segons les prediccions de Forrester per 2020, estem en el “precipici del canvi de llarg abast”. Entre altres aspectes, l’estudi assegura que 2020 serà un mal any per l’ús de dades de tercers i un bon any per els professionals del màrqueting que es prenguin seriosament la privacitat del consumidor.

La preocupació per la privacitat accelera

Això és així tant des del punt de vista dels usuaris afectats com per part de les empreses que volen fer servir dades personals per les seves activitats comercials i de màrqueting. No diguem per les empreses que tenen com activitat principal la realització professional de campanyes publicitàries.

Cada dia més, els consumidors estan més preocupats per com es recullen les seves dades i com es fan servir. En els últims temps, una combinació de notícies sobre bretxes de seguretat (algunes amb forta repercussió mediàtica com les sancions imposades a Facebook), conductes impròpies (com les de Google) i l’increment de regulació (i la pressió amb les primeres sancions) han fet que l’usuari sigui cada dia més conscient del perill que corren les seves dades i, també, dels mecanismes que té a la seva disposició per defensar-se (com, per exemple, l’exercici de drets que li reconeix el RGPD, incloent-hi la possibilitat d’acudir a l’autoritat de control –en el nostre cas, l’AEPD– si entén que els seus drets han estat vulnerats).

Les empreses són també cada dia més conscients de que el correcte tractament de les dades de l’usuari té molt a veure amb la confiança necessària que s’ha d’establir entre les parts perquè hi hagi uns transacció econòmica. I, també, que el dany reputacional d’una mala praxis pot tenir conseqüències de llarg abast.

I els reguladors cada cop són més precisos, aprenen de les experiències, creen noves regulacions (seguint el deixant del RGPD) com estem veient a Califòrnia amb la Califòrnia Consumer Privacy Act (CCPA) i a New York amb la New York Privacy Act (NYPA) i, naturalment, imposen més sancions (l’autoritat espanyola és, hores d’ara, líder europeu en número de sancions –tot i que no en import–).  

Previsions pel 2020

Sigui per un consumidor més informat, per les sancions, la regulació  o la tecnologia que ens permeti millorar l’estat de la tècnica, el que sembla clar és que les empreses de màrqueting ja no podran confiar en dades agregades de tercers per adreçar-se al seus consumidors.

Les empreses preferiran connectar amb els clients a través d’experiències personalitzades i s’estima que incrementaran en un10% el pressupost per el màrqueting d’influència.

No es pot predir en quina mesura s’aconseguirà canviar el màrqueting basat en dades agregades a un màrqueting d’influència però la tendència sembla indiscutible  per els propers anys.  

Semblava un tema més que superat però una recent sentència del Tribunal de Justicia de la Unió europea ha establert que la col·locació de cookies requereix el consentiment actiu dels usuaris. Per tant, una casella marcada per defecte és insuficient.

Comencem per explicar que les cookies són fitxers que el proveïdor d’un lloc d’Internet col·loca a l’ordinador dels usuaris d’aquest lloc i als quals es pot accedir novament quan aquests tornen a visitar el lloc amb la finalitat de facilitar la navegació en Internet o les transaccions o d’obtenir informació sobre el comportament d’aquests usuaris.

L’obligació del responsable del lloc web, diu el Tribunal, és obtenir el consentiment abans d’emmagatzemar o accedir a cookies no essencials (entenen per “essencials” aquelles cookies tècniques, necessàries per el funcionament del lloc web). Les cookies no essencials són, per exemple, aquelles que permeten fer el seguiment de l’usuari amb la finalitat d’enviar-li publicitat segmentada o recollir dades estadístiques. El consentiment no pot ser tàcit, implícit o assumit. Ha de ser exprés o no es.

La decisió del Tribunal posa en qüestió milers de webs que, hores d’ara, no sol·liciten primer el consentiment abans d’instal·lar les cookies. I això significa un clar incompliment que, a banda de costos reputacionals, suposa arriscar-se a ser multat. No cal dir-ho que la comprovació la pot fer qualsevol només entrant en mode incògnit des del seu navegador.

Consells

1. Reviseu i ajusteu, si cal, la Política de Cookies. Comproveu quines cookies instal·la la vostra web en el ordinador del usuari (i mireu si totes us interessen o us en falta alguna). Assegureu-vos que les cookies instal·lades estan clarament explicades en la Politica de Cookies (en especial, si compartiu les dades que recopileu amb tercers). Si és necessari, redacteu-ne una nova versió i feu-ho saber als visitants del vostre lloc web.
2. Implementeu a la pàgina una solució tècnica que permeti a l’usuari, d’acord amb la Política de cookies que hem definit, triar quines vol permetre que s’instal·lin en el seu ordinador (al marge de les essencials). La solució, a més, ha d’informar de com l’usuari pot canviar o retirar el consentiment.

Complir amb el Reglament General de Protecció de Dades quan fem e-mail màrqueting, no és complex. Només cal observar unes bones pràctiques i afegir-hi dosis de prudència i sentit comú. A continuació en repassem algunes.

1. Mantenir llistes netes demanant confirmació (“double opt-in“)

Quan l’interessat ens envií les seves dades a través d’un formulari, enviem un correu de confirmació en el que ha de confirmar la seva subscripció. Així tindrem llistes més netes i confiables.

2. Processar les dades personals sota la base de legitimació correcte

Podem tractar les dades dels interessats per diferents propòsits però hem de determinar sempre quina és la base legal que ens legitima a fer-ho: Consentiment inequívoc, Necessitat contractual, Obligació legal, Interès legítim, Interès públic i Interès vital de l’interessat.

3. Obtenir el consentiment explícit abans de enviar correus de màrqueting

Si la base legal és la de Consentiment inequívoc, enviem els e-mails de consentiment als subscriptors. D’aquesta manera, ens assegurem que aquells subscriptors que han mostrat interès, per exemple en fires, convencions, webinars, …, han expressat explícitament el seu consentiment per rebre les nostres comunicacions. I haurem d’oferir també la possibilitat de denegar el consentiment.

4. Informar a l’usuari

L’usuari té el dret a que se l’informi, expressament o per remissió a la Política de Privacitat, de qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los. A més de complir amb la normativa, generem confiança en l’usuari.

5. Ser transparents amb les dades dels usuaris

En virtut al Dret d’accés que reconeix el RGPD, l’usuari te que poder accedir a les seves dades personals quan ho demani. Pot demanar, també, que se li facilitin aquestes dades en format digital, llegible per màquines.

6. Dir clarament qui som

Facilitem les nostres dades: nom de l’empresa responsable de les dades, CIF, adreça electrònica (específica per protecció de dades) i postal i un número de telèfon de contacte. Generem confiança i facilitem la comunicació.

7. Explicar d’on hem tret les dades

O, el que és el mateix, explicar als subscriptors com els hem conegut i perquè estan en la nostra llista.

8. Deixem triar el que volen rebre

Diferenciem la nostra oferta de manera que es pugui triar, amb una acció positiva, la informació que els subscriptors volen rebre, sense condicionar-ho. Fem-ho fàcil per tothom.

9. Permetre la modificació / eliminació de dades personals

Els subscriptors ens podem demanar modificar o eliminar la seva informació personal dels nostres registres. Són drets que recull el RGPD. I és la nostra obligació facilitar els mecanismes necessaris per poder exercir-los.

10. Protegim la informació

La protecció de les dades és un aspecte clau del RGPD. Hem de tenir cura d’emmagatzemar les dades personals amb la màxima seguretat, controlant-ne l’accés, xifrant-la i fent les preceptives còpies de seguretat.

11. Garantir-ho tot amb una Política de Privacitat

A totes les comunicacions hem d’afegir-hi un enllaç a la Política de Privacitat. I a l’hora de recollir el consentiment, hem de disposar d’una casella que l’usuari ha de marcar conforme ha llegit i accepta la Política de Privacitat. Aquesta Política ha d’explicar, com a mínim, qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los.

Primera sanció de l’AEPD per no complir la normativa respecte a la utilització de cookies a la seva pàgina web a la companyia Vueling.

Segons l’usuari denunciant, “la web de la companyia no permet utilitzar les galetes estrictament necessàries i més vaga una acció afirmativa i positiva que no es pugui mal interpretar el consentiment i l’assumeixen simplement en visitar la seva pàgina web”.

Un cop realitzades les comprovacions, segons l’Agència, l’empresa no compleix amb les condicions que imposa la normativa en vigor. En els fonaments de dret diu que “si s’accedeix a la segona capa, el consentiment a què es cedeixin dades a tercers a través de galetes és implícit, ja que en cap moment dóna l’opció de poder oposar-se a la instal·lació d’aquestes en el dispositiu o de qualsevol altra galetes “.

A més, no facilita un sistema de gestió o panell de configuració de galetes que permeti a l’usuari eliminar-les de forma granular. Per facilitar aquesta selecció el panell podrà habilitar un mecanisme o botó per rebutjar totes les galetes, un altre per habilitar totes les galetes o fer-ho de forma granular per poder administrar preferències.

Els fets exposats, prossegueix l’Agència, podrien suposar per part de l’empresa reclamada, la comissió de la infracció de l’article 22.2 de la LSSI¹, segons el qual: “Els prestadors de serveis podran utilitzar dispositius d’emmagatzematge i recuperació de dades en equips terminals dels destinataris, a condició que els mateixos hagin donat el seu consentiment després que se’ls hagi facilitat informació clara i completa sobre la seva utilització, en particular, sobre les finalitats del tractament de les dades, d’acord amb el que disposa la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal “.

Aquesta Infracció aquestes tipificada com a lleu en l’article 38.4 g), de la citada Llei, que considera com a tal: “Utilitzar dispositius d’emmagatzematge i recuperació de dades quan no s’hagués facilitat la informació o obtingut el consentiment del destinatari del servei en els termes exigits per l’article 22.2. “, podent ser sancionada amb multa de fins a 30.000 €, d’acord amb l’article 39 de l’esmentada LSSI.

Finalment, l’Agència, després de les evidències obtingudes en la fase d’investigacions prèvies, considera que procedeix graduar la sanció a imposar en la quantia de 30.000 €. Com sigui que hi ha hagut reconeixement de la responsabilitat per part de l’empresa, la sanció s’ha reduït fins als 18.000 €.

Llegir la Resolució completa aquí.

¹ LSSI: Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic

Ricard Castellet, director de TecnoLaywer, ha impartit una formació sobre Protecció de Dades i Ciberseguretat en el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

Els agents de la propietat immobiliària han conegut de primera mà les bligacions en matèria de protecció de dades personals que han de complir, així com les mesures organitzatives i tècniques que aquests han de realitzar per a adequar la seva activitat a la normativa vigent. També ha informat sobre algunes de les primeres sancions – apercebiments i multes- que ha imposat l’AEPD (Agencia Española de Protección de Datos) a empreses de diferent tipologia.

La sessió s’ha complementat amb un taller pràctic per a resoldre les qüestions específiques de les agències en l’aplicació de la normativa. Així mateix, s’ha introduït el concepte de ciberseguretat per a conscienciar a les agències sobre la seva vulnerabilitat dels equips i programari respecte als ciberatacs.

Aquesta formació s’imparteix en el marc del conveni de col·laboració de TecnoLawyer amb el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

A finales de abril de este año, se han conocido las primeras resoluciones sancionadoras emitidas por la Agencia Española de Protección de Datos (AEPD) en las que se aplica la nueva normativa de protección de datos. Las sanciones impuestas son multas o apercibimientos.

Los principales actos sancionados con multa han sido por las siguientes causas:

Por enviar a una persona al fichero de morosidad:

• Infringiendo el principio de exactitud de los datos 5.000 €- (a Vodafone)
• Vulnerando el consentimiento 28.000 €-
• Vulnerando el principio de calidad en relación con los ficheros de morosidad 24.000 €-.
• Por incumplir los requisitos para enviar una persona al fichero de morosidad 2.500€-

Por recibir más de 200 SMS a pesar de que había ejercitado del derecho de cancelación del servicio

• Por falta de diligencia en el tratamiento de datos al no ejercer el derecho de cancelación de un servicio 45.000 €-. (a Vodafone)

Vodafone es una de las empresas que más sanciones sufre en materia de protección de datos

Las sanciones con multa tienen una reducción del 20% por reconocimiento de responsabilidad y de otro 20% por pago voluntario.

Los principales actos sancionados con apercibimiento -sin sanción económica- han sido por las siguientes causas:

Videovigilancia

• Por grabar en la vía pública y en algún caso por no informar de ello. Se han sancionado con apercibimientos a bares, tabernas y particulares.

Envío de correo electrónico sin copia oculta

• Por envíos a direcciones de correo electrónico sin ocultar las direcciones de los destinatarios por parte de pequeñas empresas. Ninguna de ellas había sido comunicada como brecha de seguridad.

Brechas de seguridad

• Por utilización de terminales de teléfono expuestos a disposición de potenciales clientes desde los que se podía acceder a datos personales de empleados y clientes por parte de 2 tiendas de teléfonos móviles
• Por tener en la basura documentos con datos personales de alumnos por parte de una cooperativa que gestiona un centro de enseñanza. La policía local vio como las trabajadoras de la limpieza tiraban a la basura los documentos y denunció al colegio ante la AEPD. La Junta Directiva tuvo que ser destituida por este motivo.

Imágenes de menores

• Por tomar fotografías a un menor de 5 años sin consentimiento de quien ostenta la patria potestad por parte de una feria de atracciones.
• Por realizar fotos de menores, sin consentimiento, para comercializar unos calendarios denunciado por parte del AMPA. Las familias habían dado el consentimiento al colegio, pero no al AMPA. El padre de uno de los menores interpuso reclamación ante la AEPD.

Publicación de datos en la web

• Un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa
• Publicación en la web de una asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales

En vista de estas actuaciones, para las sanciones con apercibimiento parece ser suficiente con que se acredite la toma de medidas organizativas y/o técnicas o bien se informe de la intención de no volver a incurrir en la acción sancionada.

Estas han sido las primeras sanciones que se han dado a conocer. Se prevé que, a partir de septiembre, la acción sancionadora de la AEPD se intensifique.