Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

AEPD: Sanció rècord i rècord de sancions

per

Encara que sembli que fa molt temps, va ser poc abans de Festes quan l’AEPD va imposar la sanció més alta de la seva història: 5 milions d’euros de multa al BBVA per vulnerar 3 articles del RGPD. I a això s’ha d’afegir que Espanya és líder de la Unió Europea en sancions a PIMES per incompliments del RGPD.

En realitat han estat dos infraccions. La primera, qualificada de molt greu, de 3 milions d’euros  per vulnerar l’article 6 del Reglament General de Protecció de Dades (RGPD), quant a la fórmula per obtenir el consentiment dels clients. La segona, de caràcter lleu, per les dades obtingudes de l’interessat que suposen una vulneració dels articles 13 i 14 de l’esmentat Reglament.

Al mateix temps, la resolució imposa una sèrie de mesures que obliga al BBVA a canviar, en un termini màxim de sis mesos, el seu sistema de gestió de protecció de dades en relació al deure de informació i l’obtenció del consentiment.

Sense voler entrar en més detall de la resolució (podeu llegir-la íntegre aquí), si vull aprofitar per fer diverses consideracions.

Per començar, el fet més cridaner que suposa l’elevat import de les sancions. Sembla que l’AEPD, en línia amb altres autoritats de control europees ha decidit imposar sancions molt elevades. Algú pot dir que per una entitat com el BBVA es tracta d’una quantitat irrisòria. Però no hem d’oblidar que les sancions podem arribar fins a 20.000.000 d’euros o el 4% de la facturació anual consolidada del grup. I sembla que s’ha engegat un camí més estricte.

D’altre banda, el dany reputacional per l’entitat pot ser molt elevat. El ressò mediàtic que ha tingut la noticia no ha passat, estic segur, desapercebut per la societat, en general, i per els grups d’interès del banc (clients, accionistes, etc.), en particular.

I tot va començar amb un SMS publicitari enviat a un client que estava donat d’alta en Llista Robinson des de feia temps. Fixa’t tu qui ho havia de dir.

I per completar el panorama sancionador, avançar-vos que Espanya lidera la UE en sancions a PIMES. El número encara és modest però l’increment de multes del 2019 al 2020 ha estat del 252%. Però d’això en parlarem en un proper post en el que aportarem dades d’un estudi propi.

Convé, en qualsevol cas, que les empreses extremin les seves precaucions.

Cuideu-vos!

Texts webs, legals o il·legals?

per

Tothom parla, i aquests dies més que mai, dels texts legals de la web. Entre el rebombori de les cookies i la normativa aplicable al comerç online, imprescindible en aquestes dates, hi ha, per una banda, una certa confusió en saber quins texts es necessiten i, per l’altre, hi ha diferents pràctiques esteses al sector que comporten seriosos riscos. I aquests riscos són per als empresaris que encarreguen la pàgina web però també per a alguns dissenyadors web, per als quals, tot sovint veiem que la privacitat o les condicions de compra no són una preocupació prioritària perquè no és la seva responsabilitat.

 Els texts legals web estan subjectes a normatives diferents. A més dels relatius a la Protecció de Dades derivats del Reglament General de Protecció de Dades (RGPD) i la LOPD (com la Política de Privacitat), dels quals n’hem parlat en diferents ocasions (A part dels texts legals a la web, que més haig de fer?  o Em puc refiar de la teva web? ), estan els que són conseqüència de la LSSICE (com l’Avís legal o la Política de Cookies). I naturalment els que es refereixen a les Condicions de compra quan el site disposa d’un e-commerce (Llei d’ordenació del Comerç minorista i RDL de la Llei General per la Defensa dels Consumidors i Usuaris).  I d’això últim en parlem avui.

Ara vénen les Festes de Nadal en les que les compres online es disparen. Totes les compres estan subjectes a unes condiciones de contractació específiques per cada cas que necessàriament han d’estar exposades en el site web, a disposició dels usuaris. En conseqüència, totes les compres, com a compravenda que són, estan subjectes a aquests contractes vinculants entre les parts.  I que afecten a actuacions que poden tenir conseqüències greus com no avisar al consumidor del dret desistiment[1] que l’assisteix per a retornar el producte comprat en els 14 dies següents a la compra i amb quines condicions s’han de fer les devolucions. I si l’empresari no ha complert amb el seu deure de informació i documentació, aquest període serà d’un any i 14 dies. No és cap broma.

Per tant, l’empresari té que assessorar-se degudament amb professionals que garanteixin el compliment de les obligacions legals en el món de Internet de la mateixa manera que ho fan en el món físic. Perquè si l’empresari no ho fa, el dissenyador web no hi presta atenció (al cap i a la fi no és la seva responsabilitat) i, per arrodonir-ho, l’usuari no és llegeix els texts legals, estem davant d’una situació de inseguretat jurídica extrema que, més aviat que tard, tindrà conseqüències per el tràfic web, en especial per el comerç electrònic.

Fem, entre tots els professionals, que tenir texts legals a la nostra web sigui la normalitat. I, com usuaris, no signem contractes sense llegir i entendre les conseqüències.

[1] Reial Decret Legislatiu 1/2007, de 16 de novembre, pel qual s’aprova el text refós de la Llei General per a la Defensa dels Consumidors i Usuaris i altres lleis complementàries.

Pandèmia, Ciberseguretat i Protecció de dades

per

La pandèmia ha accelerat molts processos digitals, tant a nivell particular com professional i empresarial. Teletreball, videoconferències, núvol, transformació digital, etc. ja eren tendències abans del COVID però ara s’han fet gairebé imprescindibles. I en el nou escenari, la Ciberseguretat ha saltat a la primera plana.

Noves maneres de treballar i fer negocis s’han tingut que adaptar i fer un salt qualitatiu en l’ús de les tecnologies per poder sobreviure. A més, he estat testimonis d’un fenomen inaudit com és que hem pogut fer un experiment sociològic a nivell global que era impensable fa un any. Si al gener li dic a un client que, en comptes de venir al despatx, farem una videoconferència, el més probable és que m’hagués quedat sense client. I ara n’hem aprés tots, fins i tot la gent gran, que la tecnologia ens obre un ventall enorme de possibilitats i que res tornarà a ser igual. I per millor.

Però, es clar, tot anvers té un revers. I un exemple, no l’únic, és el de la Ciberseguretat. Segons l’enquesta anual Digital Trust Survey 2021 de PwC, la pandèmia ha obligat a les empreses a donar un salt en les tecnologies digitals per, en molts casos, canviar o reinventar els seus models de negoci. I això  està  provocant un augment de les bretxes de seguretat que es troben en determinats escenaris (per exemple, en el teletreball) més exposats que mai als ciberatacs. La falta de mitjans, de preparació i de cultura digital, entre altres, situen a les empreses en un escenari molt delicat, front el qual han de fer inversions en Ciberseguretat i minimitzar riscos.

Perquè les conseqüències de patir un ciberatac poden ser devastadores. No poder accedir a la informació per un atac de ransomware o que les dades de les que som custodis (per exemple, les dades personals de les quals som responsables) es vegin exposades tindrà conseqüències en termes econòmics i, a ben segur, en termes de reputació amb un cost incalculable. L’empresa, fins i tot, pot incorre en responsabilitat penal, derivada del delicte de danys informàtics (art. 264 Codi Penal) i del de revelació de secrets (art. 197 i següents CP), sense comptar la responsabilitat civil subsidiària  de la persona jurídica que recull l’article 120.4 CP.

En resum, passada la necessària rauxa inicial en la que les empreses estaven comprensiblement lluitant per la seva supervivència, cal establir les bases de desenvolupament del negoci fent les corresponents inversions en infraestructures tecnològiques, en compliment de les diferents normatives i, sobretot, en cultura digital en l‘entorn de les persones. Només així ens garantirem el futur.

Cuideu-vos!

No, les caselles premarcades no són consentiment vàlid

per

Les caselles premarcades no es poden considerar una forma vàlida de consentiment. El consentiment requereix una acció positiva de l’usuari per tenir validesa. I estem veient que moltes empreses han adaptat la seva política de cookies fent servir aquesta mala praxis.

Des de l’entrada en vigor del RGPD, el consentiment tàcit va ser una de les formes que van quedar invalidades. I aquí entren també les famoses caselles premarcades que ara tornen a aparèixer amb les renovades polítiques de cookies que estem veient aquests dies.

Tot això ve perquè, a més de constatar la situació sobre el terreny, el Tribunal de Justícia de la Unió Europea (TJUE) en una sentencia ha imposat una multa a l’empresa Orange Romania per haver celebrat contractes de prestació de serveis amb una clàusula de consentiment en que la casella de consentiment havia estat marcada per el responsable del tractament de forma prèvia a la firma del contracte. La sentencia recorda que el consentiment de l’interessat ha de ser lliure, específic, informat i inequívoc. No es considera vàlid el silenci, les caselles premarcades o la inacció.

I tot el que diu la sentència també és vàlid per a les cookies. Des del passat 31 d’octubre l’opció de “Seguir navegant” no està permesa i cal oferir a l’usuari la possibilitat de configurar la gestió de les cookies. I aquí està el problema perquè, en més casos dels desitjables, les caselles ja estan marcades. D’aquesta manera, l’usuari té que desmarcar-les per a que el servidor no instal·li cookies no desitjades. Però si no va a la configuració, al prémer el botó “Acceptar” estarà donant el consentiment sense saber-ho i s’instal·laran totes les cookies. Les úniques cookies que es poden instal·lar sense consentiment de l’usuari són les de caràcter tècnic, es a dir, les necessàries per establir la comunicació entre el servidor i el navegador client. Tota la resta, s’han d’instal·lar després del pertinent consentiment, no abans com succeeix amb més freqüència de la desitjada.

Imatge Pixabay

Em puc refiar de la teva web?

per

La pàgina web de l’empresa és el nostre aparador, com si d’una botiga es tractés. És la primera impressió que se’n porta el nostre client potencial. I com deia Oscar Wilde, “Mai hi ha una segona oportunitat per causar una primera bona impressió”. I la base per causar una bona impressió és que la web sigui segura. Després ja podrem desenvolupar els continguts i adaptar-la estèticament.

Una web insegura és la pitjor impressió inicial que es pot emportar un visitant. Transmet una sensació entre la deixadesa i la negligència. I, a més, pot ser objecte de sanció, com és el cas d’aquesta empresa a la que l’AEPD ha imposat una multa de 3.000€ per vulnerar tant el Reglament (RGPD[1]) com la Llei de Serveis de la Societat de la Informació (LSSICE[2]). I no estem parlant d’una multinacional sinó d’una SL com hi ha tantes en el mercat.

Com saber si la web és insegura?

Lo primer és comprovar si la web té instal·lat el certificat SSL que garanteixi el xifrat entre el navegador i la pàgina. Hem d’assegurar-nos que el protocol de la pàgina comença per https:// o mostra un cadenat. Fent clic en el cadenat veurem si el certificat és vàlid i altres detalls. Altres qüestions són disposar d’un hosting que mantingui la web actualitzada, fer servir formularis de contacte en comptes de correus electrònics i altres que seran objecte d’un proper post.

Perquè, a més de la part tècnica, ens hem d’ocupar de la part legal. I això passa per posar a disposició de l’usuari, com a mínim, els següents texts legals:

  • Avís legal
  • Banner de cookies
  • Política de cookies
  • Política de privacitat
  • Condicions de contractació (si tenim e-commerce)
  • Formulari de contacte (consentiment positiu)

Tots ells resultat de l’adequació de l’empresa al RGPD i la LSSICE. És a dir, no val posar només els texts sense adequar o, el que és pitjor, copiar els texts d’una altre pàgina web. I cal prestar atenció, ara mateix, a les cookies, tema del que ja hem parlat.

Tenir una web segura i adequada en matèria de protecció de dades ens permetrà evitar sancions i transmetre confiança al visitant. La resta, contingut i estètica, ja són figues d’un altre paner.

[1] Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (RGPD)
[2] Llei 34/2002, d’11 de juliol de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE)
Imatge Pixabay

Cookies: s’ha acabat el temps!

per

Com dèiem el passat juliol (veure post), l ’Agència Espanyola de Protecció de Dades (AEPD), va donar un termini per implementar els nous criteris pel que fa a les cookies (petites informacions que ens envien els llocs web per, entre altres, donar-nos servei i rastrejar la nostra activitat a Internet). Aquest termini s’acaba demà 31/10/2020).

Com és natural, aquest seguiment que permeten les cookies té moltes implicacions en matèria de protecció de dades. A tots ens ha passat anar a veure unes sabates a un botiga online i, a partir d’aquell moment, els anuncis de sabates ens perseguiran per tota la web, vagis on vagis. I aquesta és una de les funcions més innòcues de les cookies. Estem immersos, cada dia més, en una economia de les dades. I nosaltres som això: dades. Dades de comportament, de preferències, d’hàbits, etc. I quan naveguem anem deixant un rastre que és una mina per les empreses que tracten dades i, en general, per totes que les aprofiten. Google o Facebook són els paradigmes més coneguts però hi ha milers d’altres.

Estan així les coses, el Comitè Europeu de Protecció de Dades (CEPD) el maig passat va modificar les Directrius sobre la prestació del consentiment per part de l’usuari en matèria de cookies. Les noves directrius es basen en la interpretació dels principis de transparència en la informació i la lliure prestació del consentiment del usuari.

En aquest sentit, les modificacions principals van ser:

  • És necessària una clara afirmació afirmativa per part de l’usuari. L’opció “seguir navegant” ja no és vàlida. No es podrà activar cap cookie (excepte les tècniques) si no hi ha acceptació expressa.
  • No es podran fer servir els “murs de cookies” que condicionen l’accés de l’usuari a l’acceptació de cookies, tret que se l’informi i ofereixi una alternativa.
  • L’usuari ha de poder acceptar o no les cookies, de manera senzilla i de forma granular. Per exemple, agrupades per finalitat (analítiques, publicitàries, etc.)
  • Si s’inclouen cookies de tercers, cal detallar com s’oferirà la informació, l’obtenció del consentiment i els mitjans per revocar-lo.

I per acabar, dos coses: els titulars de les pàgines web que no s’hagin adaptat a les noves exigències s’exposen a ser sancionades amb multes fins a 30.000 € per incompliment lleu de la Llei 34/2002, d’11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSICE).

I, dos, sense perjudici que, en la mesura que la instal·lació de cookies afecti al tractament de dades personals dels usuaris, el RGPD contempla sancions que poden ser força altes per les infraccions més greus.

Així funciona la desconnexió digital: fins a 6.250€ de multa!

per

Segons recull el diari Cinco Días, l’enviament d’emails fora de la jornada de treball pot comportar multes de fins a 6.250€. Des de la Inspecció de Treball veuen els correus sancionables si l’empresa no aclareix que s’han de respondre en horari laboral.

Primer de tot, fem memòria de què és la Desconnexió Digital. El dret a la desconnexió digital fora de l’horari de treball es conceptua com la limitació a l’ús de les tecnologies de la comunicació per garantir el temps de descans i vacances dels treballadors. I aquest Dret ve recollit en el Títol X de la Llei Orgànica de Protecció de Dades i Garantia dels drets digitals (LOPDGDD).

Durant la pandèmia hi ha hagut un considerable augment del teletreball. I ho hem fet sense estar preparats tècnicament, ni culturalment, ni, per suposat, laboralment. Amb videoconferències a totes hores (sí, aquelles amb camisa i pijama), la bústia plena fins dalt de correus amb infinitat d’annexes i tots preguntant-nos com omplir o signar un pdf (i buscant a corre cuita una signatura digital).

I tot això fent més hores que un rellotge. La falta de preparació i de mitjans, un sumatori de ineficiències elevat al infinit, es compensava en temps de dedicació laboral. Horaris extensos, caps de setmana, festes, sacrificant el descans, la família, … Lluny queda el temps en que el divendres la migdia tancaves el despatx fins dilluns. Ara el despatx i moltes feines (en especial en el sector serveis) estan obertes 24/7.

Per què, qui no mira el correu fora d’hores de feina? O ens estimem més arribar dilluns i trobar-nos la safata d’entrada plena fins dalt amb temes que podíem haver avançat durant el cap de setmana?

Desconnexió digital per a tothom o no? La desconnexió digital és, al meu parer, imprescindible per a tothom. I les empreses faran bé de complir la norma. Però, més enllà del compliment, el que necessitem és aprendre a fer servir les diferents eines de comunicació i informació per sobreviure en la frenètica societat d’avui. Entre tots hem de posar límits.

Mentrestant, recordem que si volem enviar un correu a un treballador, podem fer-ho en qualsevol moment però, això sí, complint amb la normativa que, en aquest cas, exigeix  indicar clarament que s’ha de respondre en horari laboral. I això val per trucades, whatsapp i altres eines de comunicació. I entendre que, si es divendres tarda, no podem demanar un informe per dilluns a primera hora. Tan simple com això.

Imatge Pixabay

Cookies again

per

Teníem pendent dos qüestions pel que fa a les cookies: la validesa de l’opció “seguir navegant” com manera de prestar el consentiment per part dels usuaris i la possibilitat de d’utilitzar els coneguts com “murs de galetes” que permeten limitar l’accés a determinats serveis o continguts als usuaris que expressament accepten l’ús de cookies.

I l’Agència Espanyola de Protecció de Dades (AEPD) ha actualitzat  recentment la seva Guia sobre l’ús de les cookies per adaptar-la a les Directrius sobre consentiment modificades  el maig de 2020 per el Comitè Europeu de Protecció de Dades (CEPD). La nova Guia ja està publicada en la web de l’Agència.

Respecte al primer aspecte destacable, l’opció de “seguir navegant”, la Guia explicita que no és, en cap circumstància, una forma vàlida de prestar el consentiment, en la mesura que aquestes accions poden ser difícils de distingir d’altres activitats o interaccions de l’usuari, per la qual cosa no seria possible entendre que el consentiment és inequívoc.

Pel que fa als “murs de galetes”, la Guia diu que no es podran utilitzar sinó ofereixen una alternativa al consentiment. Aquest criteri resulta especialment important en aquells supòsits en què la denegació d’accés impediria l’exercici d’un dret legalment reconegut a l’usuari, per ser, per exemple, l’accés a un lloc web l’únic mitjà facilitat a l’usuari per a exercitar aquest dret.

Aquests nous criteris s’hauran d’implementar, com a molt tard, el 31 d’octubre d’aquest any, establint-se així un període transitori de tres mesos per introduir els canvis necessaris en els mecanismes d’obtenció del consentiment per a l’ús de cookies que s’estiguin utilitzant.

És clar que la indústria publicitària haurà de moure fitxa i potser el camí és explicar-li a l’usuari, de forma transparent, perquè es fan servir les cookies. Si l’usuari sap exactament perquè volem les seves dades i en què el beneficia, estarà disposat, a ben segur, a compartir-les amb nosaltres. No hi ha un altre camí.

El compliment normatiu no és un camí curt i fàcil però si tots –institucions, empreses, ciutadans i professionals de la privacitat– treballem junts en la mateixa direcció aconseguirem que contribueixi significativament al creixement de l’activitat econòmica, amb seguretat. I, al cap i a la fi, això és el que volem tots.

Imatge Pixabay

El Tribunal de Justícia de la Unió Europea declara invàlid l’Escut de privadesa per a la realització de transferències internacionals de dades als EUA

per

El 16 de juliol de 2020 el Tribunal de Justícia de la Unió Europea (TJUE) ha fet pública una sentència en la qual anul·la la Decisió 2016/1250 de la Comissió que declarava el nivell adequat de protecció de l’esquema de l’Escut de Privacitat (Privacy Shield ) per a les transferències internacionals de dades als EUA. Aquesta Decisió substituïa al seu torn a Port Segur, que també va ser declarat invàlid pel TJUE a l’octubre de 2015.

Més informació

‘Efecte Brussel·les’: cop de puny de la UE sobre la taula

per

En pocs dies s’han aplegat dos fets que guarden una estreta relació i que són de suma importància per els ciutadans europeus i, m’atreveixo a dir, per molts ciutadans del món. M’estic referint al llibre ‘L’efecte Brussel·les’ d’Anu Bradford i, naturalment, l’anul·lació de l’acord conegut com Privacy Shield amb els Estats Units.

Bradford sosté que és Europa –i no Estats Units o Xina– qui domina el món. Com? Gràcies a l’Efecte Brussel·les o, el que és el mateix, l’externalització involuntària de regulacions a través de mecanismes globalitzadors del mercat. Segons l’autora, aquest efecte acaba influint més en la vida de molts habitants del planeta que el poder econòmic o militar dels gegants americans i xinesos.

Europa és un mercat únic molt envejable, entre altres coses, per el seu gran poder adquisitiu. I les empreses internacionals assumeixen les estrictes lleis de la UE per poder-hi accedir i beneficiar-se. I aquestes empreses imposen aquestes regles a les seves filials a tot el món per tal d’uniformar els procediments, aprofitar les economies d’escala i reduir costos.

I un exemple que avala la tesis és el Reglament General de Protecció de Dades (RGPD) que va entrar en vigor ara fa poc més de dos anys. Ja vam escriure llavors que era una legislació amb vocació  ‘universal’ perquè afectava als ciutadans de la UE i que les empreses que volguessin tractar dades personals –imprescindibles per el tràfic econòmic– estaven obligades a complir amb la normativa. Qualsevol empresa, de qualsevol part del món, sense excepció.

Estats Units ha regulat, des de sempre, de forma molt laxa la protecció de dades i sempre a remolc de la UE. Fins a tal punt que Europa acaba d’anul·lar l’acord denominat Privacy Shield. Es tracta d’un acord signat fa quatre anys que permetia transferir dades personals de ciutadans d’Estats membres europeus als Estats Units. La decisió d’invalidar l’acord es basa en que la UE no confia en que la informació sigui tractada amb les garanties pertinents en termes de privacitat.

De les conseqüències de la decisió –tant pel que fa a les grans tecnològiques americanes o per milers de pymes– en parlarem en una altre ocasió. El que es tracta avui és de posar de manifest el cop de puny sobre la taula de la UE, fent visible l’Efecte Brussel·les’ en matèria de protecció de dades. I no serà l’últim.

No et quedis enrere!

Converteix la IA en la teva avantatge de Recursos Humans

Accedeix a continguts exclusius sobre Dret Digital Laboral i Intel·ligència Artificial a RRHH: alertes crítiques, guies pràctiques, checklists i més, que la teva empresa necessita avui per protegir-se i créixer.

Revisió Texts legals web