Privacitat – protecció de dades

L’AEPD multa a una advocada per reutilitzar documents amb dades de clients en el revers. La lletrada, que afronta una sanció de 2.000 euros, va aprofitar paper usat que contenia informació personal d’altres clients.

Sempre és bo reutilitzar i reciclar qualsevol consumible i el paper és, encara, un dels més importants en aquest aspecte. Tradicionalment, a més, en els despatxos d’advocats s’ha fet servir molt paper per raons òbvies – escrits de tota mena, comunicats dels jutjats, còpies per totes les parts, etc.– Per raó de la professió l’advocat necessita molt paper i és pràctica habitual reciclar tot el paper possible.

Però les coses estan canviant. La transformació digital, que ha avançant molt durant la pandèmia, és una revolució imparable. Però fins que no estigui implantada completament hem d’anar en compte i observar curosament la legislació vigent, en aquest cas, el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (RGPD).

L’AEPD considera  que l’actuació de la lletrada suposa, precisament, una vulneració de l’article 32 d’aquest Reglament. La norma en qüestió obliga als responsables de tractament de dades a “aplicar mesures tècniques i organitzatives per garantir el nivell de seguretat adequat. Per això ha fixat una sanció de 2.000 euros.

Segons recull la resolució, l’advocada va fer servir paper que contenia informació personal de clients anteriors, fins i tot un menor d’edat, per convocar una reunió de llogaters. Paper que en el revers apareixien dades de tercers referides a procediments anteriors, el que suposava fer accessible aquestes dades a tercers, sense consentiment dels titulars.

L’article 32 del RGPD, en el marc de la Seguretat de les dades personals, apunta les mesures a prendre per garantir un nivell de seguretat adequat al risc com, per exemple, la seudonimització i el xifrat, garantir la confidencialitat, integritat, disponibilitat i resiliència dels sistemes, la capacitat de restaurar les dades i l’accés a la informació en cas d’incident i un procés de verificació i avaluació de l’eficàcia de les mesures implementades. Aplicant aquestes mesures minimitzarem els riscos i evitarem les sancions.

Perquè 2.000 euros és una sanció relativament petita. L’equivalent, aproximadament a 625 paquets de 500 fulls DIN A4. I es poden recuperar en el proper assumpte que ens encarreguin. Però el pitjor, com sempre, és la reputació. Confiaríem els nostres assumptes més importants a un professional que no té cura de les dades personals i de la privacitat dels seus clients? És més, confiaríem en un advocat que no compleix la llei en la seva activitat?

Imatge Pixabay

L’anunciant és responsable de la publicitat encara que l‘hagi externalitzat. La sala tercera del contenciós administratiu estima que encara que es subcontracti a una empresa externa per a les campanyes publicitàries això no elimina la responsabilitat de l’anunciant.

Ho ha dictaminat el Tribunal Suprem. L’externalització de la publicitat no eximeix a les empreses de l’obligació que tenen de d’excloure als clients que no la volen rebre. Confirma així una multa de 40.000€ a Mutua Madrileña per enviar anuncis a un client que expressament havia rebutjat l’ús de les seves dades.

Diu la Sala Tercera que encari que es subcontracti a una empresa externa per les campanyes publicitàries, no s’elimina la responsabilitat de l’empresa anunciant.

El client, que tenia tres pòlisses d’assegurança en la Mútua, comptava amb dos comptes de correu electrònic inscrites en la Llista Robinson (servei d’exclusió publicitària) des de gener de 2012. Segons els fets provats en el plet, el 20 de desembre de 2011 va exercir el seu dret d’oposició al tractament de les seves dades personals davant Mutua Madrileña, en una comunicació en la qual només autoritzava a la companyia a que utilitzés les seves dades personals en el que resultés imprescindible per al desenvolupament de la relació contractual, excloent “tractaments amb fins publicitaris o de prospecció comercial, “la realització de segmentacions”, “estudis de màrqueting” o “campanyes publicitàries”. A pesar d’això, el denunciant va continuar rebent comunicacions comercials.

Mutua Madrileña, en recurs, va al·legar que haver facilitat  a l’empresa de publicitat un fitxer d’exclusió amb clients que no volien publicitat hagués  suposat una cessió consentida de dades. I que l’empresa contractista assumia com propi el compliment de les obligacions en matèria de protecció de dades.

El Tribunal rebutja els arguments perquè MM no va adoptar cap mesura cautelar per evitar l’enviament de publicitat i que segons la normativa de protecció de dades, l’anunciant està obligat a comunicar les sol·licituds del dret d’oposició que s’hagin exercit a l’empresa que fa la campanya publicitària.

En resum, les empreses han d’estar atentes a l’exercici de drets per part de l’usuari (per la qual cosa han de tenir els corresponents protocols) i fer-los efectius. I per la seva part, les empreses de publicitat, en els contractes de tractament de dades, han de tenir present circumstàncies con la recollida aquí i estar vigilants  perquè, encara que no acabi en sanció, la seva reputació es pot veure perjudicada.

Han començat a aparèixer ofertes de treball en les que es demana als candidats informació sobre si han passat el coronavirus i desenvolupat anticossos com requisit per accedir al lloc de treball proposat. L’Agència Espanyola de Protecció de Dades (AEPD) ja ha sortir al pas amb un comunicat en el que adverteix, com no pot ser d’altre manera, que aquestes pràctiques constitueixen una vulneració de la normativa de protecció de dades aplicable.

Segons explica l’AEPD,  la informació d’haver patit el coronavirus i desenvolupat anticossos d’aquesta malaltia és una dada personal relativa a la salut, que el Reglament General de Protecció de Dades (RGPD) qualifica de categoria especial en el seu article 9, pel que la seva recollida i utilització per la possible empresa ocupadora està subjecta a la normativa de protecció de dades, fonamentalment el citat RGPD i la Llei Orgànica de protecció de dades personals i garantia dels drets digitals (LOPDPGDD), que resulten plenament aplicables.

Per que es pugui dur a terme el tractament, el RGPD exigeix fonamentar-lo en el consentiment de l’interessat. Aquest consentiment ha de consistir en una manifestació de voluntat lliure, específica, informada i inequívoca. Però en el cas que ens ocupa, l’Agència entén que no hi ha veritable o lliure elecció o no es pot denegar o retirar el consentiment sense patir un perjudici o quan hi hagi un desequilibri clar entre les parts, com seria en aquest cas. Quan una persona va a buscar feina, la majoria de vegades es troba en un situació de inferioritat i vulnerabilitat que impedeix el consentiment lliure que exigeix la normativa.

A més de no existir base lícita, la finalitat tampoc seria legítima perquè la informació sobre la immunitat a la COVID-19 donaria lloc a una diferència de tracte que no obeeix a una justificació objectiva i raonable.

Per últim, l’Agència afirma que aquesta informació no s’ha d’incloure en el currículum perquè l’empresa destinatària tindria que suprimir-la per no infringir la normativa de protecció, el que podria suposar la destrucció del currículum.

Sembla clar que els efectes del coronavirus s’estendran durant mesos i ens donaran moltes sorpreses. I la majoria desagradables. Haurem de desempolsar els nostre particular manual de resiliència aplicada per superar-los.

Imatge Pixabay

Estem vivint temps complicats. Per molts de nosaltres és una situació inèdita i, tot sovint, angoixant. Ens hem tingut que fer al confinament, al teletreball i, com no, a l’ús intensiu de les tecnologies de la informació i la comunicació. Com deia en un post anterior, si alguna cosa té de bo la situació, si es pot dir així, és la decidida transformació digital a la que ens hem sotmès tots de la nit al dia.

Fins ara, termes com videoconferència, aplicacions grupals o VPN (xarxa privada virtual) eren termes que coneixíem de forma més o menys vaga. Ara parlem de Zoom, de Teams o de quina és la millor VPN com vertaders experts.

I precisament la pressió sota la que vivim combinada amb la necessitat de comunicar-nos, treballar i gaudir en el confinament ens posa en una situació vulnerable. I d’això en treuen profit des dels hackers amb el phishing  i altres estafes, com les empreses, en especial les tecnològiques. I molt especialment les de comunicacions com és el cas del que parlem avui.

Llegíem l’altre dia a la revista VICE que l’aplicació Zoom amb iOS envia dades a Facebook, fins i tot si no tenim cap compte de Facebook. I aquesta transferència de dades a Facebook no està explicada en la política de privacitat de Zoom.

Aquesta es una de les app que ha experimentat un creixement exponencial en aquesta crisis. Videochat amb família i amic¡s, reunions de grup de l’empresa, conferències i webinars, classes virtuals, serveis religiosos, cites a cegues i fins i tot comiats de solter, per citar algun dels serveis que presta Zoom aquests dies.

La creu de l’app està en la privacitat i la seguretat. No hi ha xifrat d’extrem a extrem (per la qual cosa pot veure la trucada)  I se està donant l’efecte “zoombombing”, es a dir, trolls que intervenen en les trucades difonen, pes exemple, pornografia.  Per rematar-ho, la companyia ha informat que Zoom permet compartir les dades de milers d’usuaris sense permís. Zoom agrupa automàticament els usuaris segons el domini pq entén que pertanyen a la mateixa empresa. I això, que te avantatges com connexió ràpida compartint correu, nom i fins i tot, fotografia, no sempre és així.

Les avantatges de Zoom són evidents, començant perquè és gratuïta per ús personal. Cal veure però si les mancances observades són tolerables i ens compensen. Cas contrari, buscar alternatives al mercat.

I, com sempre, prudència i sentit comú.

Segons les prediccions de Forrester per 2020, estem en el “precipici del canvi de llarg abast”. Entre altres aspectes, l’estudi assegura que 2020 serà un mal any per l’ús de dades de tercers i un bon any per els professionals del màrqueting que es prenguin seriosament la privacitat del consumidor.

La preocupació per la privacitat accelera

Això és així tant des del punt de vista dels usuaris afectats com per part de les empreses que volen fer servir dades personals per les seves activitats comercials i de màrqueting. No diguem per les empreses que tenen com activitat principal la realització professional de campanyes publicitàries.

Cada dia més, els consumidors estan més preocupats per com es recullen les seves dades i com es fan servir. En els últims temps, una combinació de notícies sobre bretxes de seguretat (algunes amb forta repercussió mediàtica com les sancions imposades a Facebook), conductes impròpies (com les de Google) i l’increment de regulació (i la pressió amb les primeres sancions) han fet que l’usuari sigui cada dia més conscient del perill que corren les seves dades i, també, dels mecanismes que té a la seva disposició per defensar-se (com, per exemple, l’exercici de drets que li reconeix el RGPD, incloent-hi la possibilitat d’acudir a l’autoritat de control –en el nostre cas, l’AEPD– si entén que els seus drets han estat vulnerats).

Les empreses són també cada dia més conscients de que el correcte tractament de les dades de l’usuari té molt a veure amb la confiança necessària que s’ha d’establir entre les parts perquè hi hagi uns transacció econòmica. I, també, que el dany reputacional d’una mala praxis pot tenir conseqüències de llarg abast.

I els reguladors cada cop són més precisos, aprenen de les experiències, creen noves regulacions (seguint el deixant del RGPD) com estem veient a Califòrnia amb la Califòrnia Consumer Privacy Act (CCPA) i a New York amb la New York Privacy Act (NYPA) i, naturalment, imposen més sancions (l’autoritat espanyola és, hores d’ara, líder europeu en número de sancions –tot i que no en import–).  

Previsions pel 2020

Sigui per un consumidor més informat, per les sancions, la regulació  o la tecnologia que ens permeti millorar l’estat de la tècnica, el que sembla clar és que les empreses de màrqueting ja no podran confiar en dades agregades de tercers per adreçar-se al seus consumidors.

Les empreses preferiran connectar amb els clients a través d’experiències personalitzades i s’estima que incrementaran en un10% el pressupost per el màrqueting d’influència.

No es pot predir en quina mesura s’aconseguirà canviar el màrqueting basat en dades agregades a un màrqueting d’influència però la tendència sembla indiscutible  per els propers anys.  

Semblava un tema més que superat però una recent sentència del Tribunal de Justicia de la Unió europea ha establert que la col·locació de cookies requereix el consentiment actiu dels usuaris. Per tant, una casella marcada per defecte és insuficient.

Comencem per explicar que les cookies són fitxers que el proveïdor d’un lloc d’Internet col·loca a l’ordinador dels usuaris d’aquest lloc i als quals es pot accedir novament quan aquests tornen a visitar el lloc amb la finalitat de facilitar la navegació en Internet o les transaccions o d’obtenir informació sobre el comportament d’aquests usuaris.

L’obligació del responsable del lloc web, diu el Tribunal, és obtenir el consentiment abans d’emmagatzemar o accedir a cookies no essencials (entenen per “essencials” aquelles cookies tècniques, necessàries per el funcionament del lloc web). Les cookies no essencials són, per exemple, aquelles que permeten fer el seguiment de l’usuari amb la finalitat d’enviar-li publicitat segmentada o recollir dades estadístiques. El consentiment no pot ser tàcit, implícit o assumit. Ha de ser exprés o no es.

La decisió del Tribunal posa en qüestió milers de webs que, hores d’ara, no sol·liciten primer el consentiment abans d’instal·lar les cookies. I això significa un clar incompliment que, a banda de costos reputacionals, suposa arriscar-se a ser multat. No cal dir-ho que la comprovació la pot fer qualsevol només entrant en mode incògnit des del seu navegador.

Consells

1. Reviseu i ajusteu, si cal, la Política de Cookies. Comproveu quines cookies instal·la la vostra web en el ordinador del usuari (i mireu si totes us interessen o us en falta alguna). Assegureu-vos que les cookies instal·lades estan clarament explicades en la Politica de Cookies (en especial, si compartiu les dades que recopileu amb tercers). Si és necessari, redacteu-ne una nova versió i feu-ho saber als visitants del vostre lloc web.
2. Implementeu a la pàgina una solució tècnica que permeti a l’usuari, d’acord amb la Política de cookies que hem definit, triar quines vol permetre que s’instal·lin en el seu ordinador (al marge de les essencials). La solució, a més, ha d’informar de com l’usuari pot canviar o retirar el consentiment.

Complir amb el Reglament General de Protecció de Dades quan fem e-mail màrqueting, no és complex. Només cal observar unes bones pràctiques i afegir-hi dosis de prudència i sentit comú. A continuació en repassem algunes.

1. Mantenir llistes netes demanant confirmació (“double opt-in“)

Quan l’interessat ens envií les seves dades a través d’un formulari, enviem un correu de confirmació en el que ha de confirmar la seva subscripció. Així tindrem llistes més netes i confiables.

2. Processar les dades personals sota la base de legitimació correcte

Podem tractar les dades dels interessats per diferents propòsits però hem de determinar sempre quina és la base legal que ens legitima a fer-ho: Consentiment inequívoc, Necessitat contractual, Obligació legal, Interès legítim, Interès públic i Interès vital de l’interessat.

3. Obtenir el consentiment explícit abans de enviar correus de màrqueting

Si la base legal és la de Consentiment inequívoc, enviem els e-mails de consentiment als subscriptors. D’aquesta manera, ens assegurem que aquells subscriptors que han mostrat interès, per exemple en fires, convencions, webinars, …, han expressat explícitament el seu consentiment per rebre les nostres comunicacions. I haurem d’oferir també la possibilitat de denegar el consentiment.

4. Informar a l’usuari

L’usuari té el dret a que se l’informi, expressament o per remissió a la Política de Privacitat, de qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los. A més de complir amb la normativa, generem confiança en l’usuari.

5. Ser transparents amb les dades dels usuaris

En virtut al Dret d’accés que reconeix el RGPD, l’usuari te que poder accedir a les seves dades personals quan ho demani. Pot demanar, també, que se li facilitin aquestes dades en format digital, llegible per màquines.

6. Dir clarament qui som

Facilitem les nostres dades: nom de l’empresa responsable de les dades, CIF, adreça electrònica (específica per protecció de dades) i postal i un número de telèfon de contacte. Generem confiança i facilitem la comunicació.

7. Explicar d’on hem tret les dades

O, el que és el mateix, explicar als subscriptors com els hem conegut i perquè estan en la nostra llista.

8. Deixem triar el que volen rebre

Diferenciem la nostra oferta de manera que es pugui triar, amb una acció positiva, la informació que els subscriptors volen rebre, sense condicionar-ho. Fem-ho fàcil per tothom.

9. Permetre la modificació / eliminació de dades personals

Els subscriptors ens podem demanar modificar o eliminar la seva informació personal dels nostres registres. Són drets que recull el RGPD. I és la nostra obligació facilitar els mecanismes necessaris per poder exercir-los.

10. Protegim la informació

La protecció de les dades és un aspecte clau del RGPD. Hem de tenir cura d’emmagatzemar les dades personals amb la màxima seguretat, controlant-ne l’accés, xifrant-la i fent les preceptives còpies de seguretat.

11. Garantir-ho tot amb una Política de Privacitat

A totes les comunicacions hem d’afegir-hi un enllaç a la Política de Privacitat. I a l’hora de recollir el consentiment, hem de disposar d’una casella que l’usuari ha de marcar conforme ha llegit i accepta la Política de Privacitat. Aquesta Política ha d’explicar, com a mínim, qui és el responsable del tractament, la finalitat, la base de legitimació, la conservació i comunicació de les dades, els drets que assisteixen als usuaris i forma d’exercir-los.