Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Ay, la (maleïda) còpia oculta!

per

Ho hem de reconèixer. A tots ens ha passat, per anar amb presses i no fixar-nos o simplement perquè en el moment suprem d’enviar el correu una distracció –truquen al mòbil o algú ens interromp – fa que enviem els correus a un conjunt de destinataris sense posar-los en còpia oculta (CCO). I un cop premuda la tecla d’Enviar, surt, inevitablement del més profund de la nostra gola, un “Ay!” que es fa sentir per tota l’estància. Però, ja és tard. Irremeiablement tard.

Doncs això és el que li va passar a una immobiliària aquí, a casa nostra. I, com no pot ser d’altre manera, amb conseqüències no desitjades (veure resolució AEPD). Per l’empresa i, el que és pitjor, per els destinataris que van veure exposades les seves dades personals. Anem a explicar-ho.

Els fets

Una empresa immobiliària remet un correu electrònic, a una pluralitat de destinataris, sense utilitzar la modalitat de còpia oculta, la qual cosa permet que tercers tinguin coneixement de la direcció de correu electrònic del reclamant. Fàcil d’entendre? Doncs sí. No es poden desvetllar dades personals, ni tant sols el correu, perquè vulnera l’article 5.1.f) del RGPD. I el 32 també, com ara veurem.

Les consideracions de l’AEPD

L’Agència considera que l’entitat reclamada, amb la seva actuació, ha cedit les dades a tercers sense causa que ho legitimi i, per tant, ha realitzat un tractament de les dades personals, la custòdia del qual té encomanada, contrari a dret. L’empresa ha violat el principi de integritat i confidencialitat (article 5.1.f) RGPD), així com no haver adoptat les mesures de seguretat necessàries per garantir la protecció de dades de caràcter personal dels seus clients (article 32 RGPD), al no fer servir la modalitat de còpia oculta del correu electrònic.

Multa per dos conceptes

La primer multa, per la infracció de l’article 5.1.f) RGPD, es quantifica (després de la graduació de la sanció) en 6.000€.
La segona, per infracció de l’article 32 RGPD, és de 3.000€.
Fan un total de 9.000€.

No està gens malament una multa de 9.000€ per una acció que es podria haver evitat només enganxant el llistat en el camp CCO del editor de correu. A més, l’empresa, de forma inusitada, no va contestar al requeriment de l’AEPD ni va presentar cap al·legació (de les comunicacions amb l’AEPD en parlarem un altre dia).

Apunts

Però més enllà del fet puntual, dolorós però assumible, està el bé jurídic que es vol protegir que no es altre que la privacitat de les dades personals. I aquí sí hem de parar atenció. Es tracta de fer un tractament escrupolós de les dades personals que ens encomanen. Aplicar els principis del RGPD com la transparència, la minimització, la integritat, la confidencialitat i la resta, i, sobretot, el de la lleialtat amb l’interessat.

Com sempre, cuideu-vos!

Google Chrome? No tan incògnit …

per

Google Chrome és, amb diferència, el cercador més utilitzat per els usuaris que naveguen per Internet. Molt per davant d’Edge, Safari i els altres. A més, el servei el proporciona una gran companyia -gran en tots els sentits- que fa que tinguem la percepció de que és un bon producte, mereixedor de tota la nostra confiança. Doncs bé, això no hauria de ser ben bé així, per la nostra seguretat i privacitat.

Chrome, com altres navegadors, disposa d’un mètode de navegació que denomina “incògnit”.  La RAE, en la segona accepció, defineix incògnit com “situació d’un personatge públic que actua com persona privada”.  Es a dir, persona que vol passar per desconeguda en el seu viatge virtual, en aquest cas, a la xarxa. I, sobretot, sentir-se segur i protegit.

Què es el mode incògnit?

En aquest mode, el navegador elimina les dades locals de la sessió de navegació a Internet. Vol dir que es bloquegen les cookies, no es registre l’historial de navegació i qualsevol altre rastrejador, arxiu temporal o barra d’eines de tercer es desactivarà. I això deixa moltes dades a les que el mode incògnit no afecta per res.

És tan “incògnit”?

Doncs no o al menys no ho és prou. Si inicies sessió en un lloc web, aquest t’identificarà i podrà seguir les teves activitats. No evitarà que els llocs que visites, el teu centre educatiu, la teva empresa o el teu proveïdor de servei de Internet puguin veure la teva activitat i ubicació. I tampoc evitarà que els llocs web que visites publiquin anuncis basats en la teva activitat durant una sessió d’incògnit.

El missatge que destapa l’assumpte

Com sempre, el diable està en els detalls. La cap de màrqueting de Goggle, Lorraine Twohill, va enviar un correu a Sundar Pichai (CEO de Google) advertint-li que els clients estaven confosos respecte el funcionament del mode incògnit i. “Fes que el mode incògnit sigui realment privat” va escriure. Twohill ho va enviar després de que varis usuaris presentessin una demanda col·lectiva multimilionària per suposa seguiment dels usuaris mentre feien servir aquest mode.

Fins i tot els empleats van avisar

La cosa ve de lluny. Ja el 2018, un empleat va compartir un informe que demostrava que els usuaris no entenen realment com funciona i no saben que no protegeix la seva privacitat com ells es penses.  Per aquest empleat, “cal deixar de anomenar-lo incògnit i de fer servir un icona amb un espia” perquè porta a equivoc sobre les seves característiques.  

Recopila les nostres dades per mostrar publicitat

Google no se’n amaga i ho explica en un enllaç però ningú ho llegeix. Us resulta familiar no llegir las informacions addicionals o el termes i condicions d’ús de les apps? Doncs això. Aquest enllaç de “Més informació” està ben visible a la pàgina inicial i explica què no fa el mode d’incògnit.

En resum

Al final, “business is business” i si fos realment d’incògnit, Google no faria negoci amb les nostres dades que ven als anunciants. Per part nostra, el podem fer servir, com diu Google, per qüestions innocents com comprar un regal per un familiar que comparteix ordinador o per si salta el banner de cookies, com fem els professionals de la privacitat. For d’això, més val que feu servir DuckDuckGo per tenir una mica més de privacitat. I queda pendent per un altre dia parlar de Tor.

Com sempre, cuideu-vos!

Vols assetjar a algú amb un perfil fals? No és bona idea. 

per

La setmana passada parlàvem de la utilització de les xarxes per cobrar un deute de forma poc ortodoxa, per dir-ho suaument. Ara volem parlar d’una pràctica més que habitual i molts més execrable com és la d’obrir perfils falsos a la xarxes socials, pàgines de contacte o simplement d’anuncis, provocant un assetjament o directament una humiliació vers un altre persona.

Veiem alguns avenços en la lluita contra la violència digital en la nova Llei.

La novetat

Aquesta conducta tindrà, a partir del proper 7 d’octubre, resposta penal. En efecte, el dia 7 entrarà en vigor la nova Llei Orgànica 10/2022, de 6 de setembre, de Garantia Integral de la Llibertat Sexual: és la coneguda popularment com “llei del només sí és sí”.

En la nova redacció s’ha modificat l’article 172 del   Codi Penal vigent per, com diu el preàmbul de la Llei,  ”donar resposta especialment a les violències sexuals comeses en l’ àmbit digital”. I explica que aquestes violències comprenen, entre d’altres, la difusió d’actes de violència sexual a través de mitjans tecnològics, la pornografia no consentida i l’extorsió sexual.

Per primera vegada, els perfils falsos en xarxes social per assetjar entren en el Codi Penal espanyol.

La conducta

Exemples d’aquesta conducta serien la creació d’un perfil fals en una web de cites (o d’escorts) amb ànim d’humiliar-la. O pujar a una xarxa social, amb un compte fake, imatges humiliants retocades amb l’ànim d’assetjar-la.

La conducta que es penalitza no es tant crear un perfil per obtenir un benefici o perjudici genèric, sinó de la creació d’un perfil fals per assetjar, fustigar o humiliar a un altre.

Les penes

La Llei considera com delicte d’assetjament la utilització sense permís de la imatge d’una altra persona per a “realitzar anuncis o obrir perfils falsos en xarxes socials, pàgines de contacte o qualsevol mitjà de difusió pública, ocasionant-li a la mateixa situació d’assetjament, fustigació o humiliació“. Aquests fets es castigaran també amb penes de presó tres mesos a un any o multes de sis a dotze mesos.

L’assetjament a l’empresa

La Llei ha modificat també altres articles d’interès que fan referència als actes hostils o humiliants que suposin greu assetjament a la víctima en l’àmbit de l’empresa, la sol·licitud de favors sexuals en l’àmbit d’una relació laboral sempre que provoquin una situació greument intimidatòria, hostil o humiliant o la difusió, revelació o cessió a tercers d’imatges o gravacions sense autorització de la víctima, el que es coneix com sexting.

 

L’assetjament no ha estat mai una bona idea, sempre ha estat un delicte i, ara, la Llei ha fet un esforç per tal de perseguir aquestes conductes detestables. I hem de ser conscients que l’assetjament, com totes les conductes delictives o simplement reprovables, és cosa de tots, no tan sols dels afectats. Tots podem ajudar en la nostra mesura. No mirar cap un altre cantó i implicar-nos ja és un pas endavant.

Com sempre, cuideu-vos!

No tot val per perseguir un morós!

per

Avui en dia és força habitual que les empreses pugin fotografies a l’Insta (com es diu ara), generalment per promocionar els seus productes i guanyar reputació. Però, de vegades, les intencions són unes altres i el resultat no pot ser més desastrós. Com diu el títol, no tot val per perseguir un morós ni per moltes altres coses a la vida.

El cas

Una dona interposa una reclamació davant l’AEPD basant-se en que la  botiga de vestits de núvia on havia comprat el seu, ha publicat a Instagram una foto en la qual figura vestida amb el seu vestit de núvia, amb l’objectiu de cobrar-lo.

Segons diu la botiga, en cap moment s’identifica els reclamants, ja que, les fotografies mostraven les figures de dues persones, home i dona, amb la cara totalment tapada amb un cercle negre que no permetia la identificació i que, per tant, no hi havia tractament de les dades personals de la parella. La firma assenyala que es va alterar deliberadament la fotografia per ocultar la identitat, per la qual cosa difícilment es podria considerar un tractament il·lícit de dades. I al·lega també que la imatge es va difondre a Instagram menys d’una hora perquè la clienta va pagar immediatament.

Per la seva banda, l’Agència entén que la manca de pagament no legitima fer servir imatges si no es compte amb el consentiment exprés de l’afectada. I que poc temps que la fotografia va estar exposada no és atenuant, abans el contrari, perquè va ser conseqüència del pagament coaccionat de la clienta. S’ha incorregut, per tant, en un tractament il·lícit de dades personals.

La sanció

L’Agència entén que la conducta suposa una infracció de l’article 6 del RGPD (licitud del tractament) ja que les dades personals van ser tractats sense comptar amb cap tipus de legitimació. D’acord amb els criteris sancionadors, s’estima adequat imposar a la botiga una sanció de 10.000€ per la infracció referida, per falta de consentiment de l’afectada.

Reflexions

Com diu el títol, tot no val. Per publicar una imatge en xarxes socials, i en qualsevol altre situació, és imprescindible comptar amb el consentiment exprés si no tenim un altre base legitimadora. En aquest cas, no es va sol·licitar el consentiment de l’afectada perquè es buscava pressionar-la perquè pagués. I ja es pot entendre que no hagués donat mai el consentiment perquè la pressionessin.

Amb caràcter general també podem dir que el nostre ordenament jurídic ens ofereix un ampli ventall de mecanismes per, com en aquest cas, recuperar un deute d’una manera endreçada. No cal acudir a dreceres ens que portin a una sanció (o conseqüències pitjors).

Com sempre, cuideu-vos!

Què sap Internet de tu?

per

L’ús que fem d’Internet, des de les nostres preferències de navegació fins als continguts que compartim en xarxes socials, creen un rastre denominat empremta digital
La teva empremta digital també la conformen els continguts que comparteixen terceres persones sobre tu, amb consentiment o sense el, i que t’identifican a internet.

Què és una Empremta Digital?

Sempre que fem servir Internet, deixem un rastre d’informació personal que es coneix com empremta digital. L’empremta s’alimenta de quasi totes les activitats que fem a la xarxa. Per exemple, quan visitem un lloc web, fem una publicació en una xarxa social, ens subscrivim a una newsletter, fem una compra o deixem una opinió en un comerç estem fent créixer la nostra empremta digital.

Aquestes activitats, conegudes per tots, es coneixen com empremtes digitals actives perquè l’usuari comparteix voluntàriament la informació personal de forma conscient. Si completem un formulari de registre i donem el nostre consentiment perquè tractin les nostres dades, estarem contribuint a la nostra empremta digital activa.

Però, què passa amb la nostra empremta digital passiva?. Aquesta es crea quan es recull informació de l’usuari sense que aquest se n’adoni. El primer exemple el trobem quan els llocs webs recopilen la nostra IP o ens instal·len cookies en el nostre navegador per rastrejar la nostra activitat i poder enviar-nos, per posar un cas, publicitat segmentada.  O quan donem un “like” o compartim un contingut en un xarxa social que els permetrà crear un perfil sobre tu.

La identitat digital

Tota aquesta empremta digital que generem es converteix en el que es denomina “identitat digital” a la xarxa. Això inclou des d’empremtes desitjades com pot ser un perfil de Linkedin o aparèixer a la pàgina web de l’empresa fins aquelles referències nostres que poden afectar a la nostra reputació i que potser no en som ni conscients.

I la identitat digital va lligada a la “reputació digital” (el que també es coneix com “marca personal”, anàloga a la reputació en el món analògic que tant bé coneixem i sovint patim. Si el que Internet sap de nosaltres és negatiu, lo primer que patirà serà la nostra reputació. I això pot ser degut, habitualment, a la nostra empremta digital passiva de la que siquiera ens som conscients. A la xarxa hi pot haver una ressenya negativa o una fotografia que ens agafa en un mals pas i que nosaltres no sabem de la seva existència.

És important l’empremta digital?

El tema reputacional, en sí mateix, ja és prou important. Imaginem que volem que ens admetin en una escola, universitat o en determinada empresa. O, simplement, volem contraure matrimoni. O som una persona famosa o volem fer carrera, diguem-ne, política o similar. O hem estat víctima d’un assetjament i han publicat un vídeo de contingut sexual (cas que es va donar a principi d’estiu amb un conegut actor). Els exemples són molt nombrosos.

Però l’exposició a la xarxa pot suposar altres perills. Atacs de phishing aprofitant la informació nostra que circula a Internet, que es difongui contingut compromès destinat a un cercle privat, assetjaments de tot tipus aprofitant el que saben de nosaltres (tema delicat especialment per determinats col·lectius: menors, víctimes de violència sexual, etc.), xantatges en l’àmbit empresarial són només alguns exemples.

Tinguem sempre present que quan publiques una informació a Internet és com si la tatuessis: costa molt esborrar-la. I un cop publicada perdem el control sobre l’ús que en faran els demés de la informació.

Protegir la teva empremta digital

Aquest tema serà objecte d’un proper post però, en síntesi, es tracta de reduir la nostra exposició a la xarxa. Reduir les fonts d’informació que et mencionen, limitar la quantitat d’informació que comparteixes, ser curós amb les xarxes socials, revisar la nostra configuració de privacitat, evitar llocs web insegurs, no fer servir Wifis públiques, tenir una política de contrasenyes, revisar els dispositius mòbils o fer servir una VPN (Xarxa Privada Virtual) poden ser algunes recomanacions a seguir.

 

Com sempre, cuideu la vostra reputació digital i cuideu-vos vosaltres mateixos!

Apps infantils, estan en perill els nostres fills?

per

A propòsit del ressò que el professor de la UOC César Córcoles es va fer recentment d’un Estudi de la Universitat de California (“Won’t Somebody Think of the Children?”) sobre les apps infantils, ens sembla oportú fer algunes consideracions.

I això perquè, com es obvi, els infants suposen el col·lectiu més vulnerable pel que fa a la privacitat a Internet. A la seva curta edat, –pocs coneixements, menys experiència i comportament grupal– se li afegeix el fet que els adults els hi proporcionem una eina ­–el mòbil­– amb tantes virtuts com perills potencials.

Quines són les estadístiques de l’Estudi?

Perquè ens fem una idea, l’estudi citat assegura que un 19% de les aplicacions dirigides al públic infantil recopilen dades dels seus usuaris de manera il·legal. És a dir, recopilen informació personal, sovint a través de tercers, sense complir amb la normativa.

Els investigadors han examinat el compliment de la COPPA (Children’s Online Privacy Protection Rule), la normativa americana que imposa determinats requisits als operadors de llocs web o serveis en línea que recullen informació personal de nens menors de 13 anys. I la conclusió és que el 57% de les aplicacions infantils gratuïtes més populars dels Estats Units vulnera la privacitat del menors. Un panorama poc encoratjador.

Quina informació obtenen?

La informació més freqüent que les aplicacions obtenen dels seus usuaris es la ubicació, quan aquesta és innecessària tret que l’aplicació sigui de mapes o del temps. Això ho aprofita l’algoritme publicitari per fer recomanacions de productes i serveis a prop de l’usuari. També és habitual recollir l’identificador únic, es a dir, el compte de correu que s’ha fet servir per registrar-se en l’app. També poden tenir accés als contactes, fotos, càmera, micròfon i un llarg etcètera. Feu-ne la prova. Quedareu esparverats!

Què s’està fent per minimitzar-ho?

Però no està tot perdut. Assenyala el professor Córcoles que “afortunadament, tant Google con Android con Apple amb IOS s’han tornat més estrictes amb els permisos que podem donar a les aplicacions. Tot i això, continuen havent-hi vulneracions importants. I, si això é un problema per un adult, encara ho és més per els nens, que haurien de tenir més protecció”.

Mica en mica, també, apareixen noves normatives per tractar de minimitzar l’impacte en la privacitat dels menors. Així podem citar la California Age-Appropriate Design Code Act, la nova llei que California acaba d’aprovar per protegir els menors.  Obligarà a les xarxes a garantir la seguretat dels usuaris més joves en matèria d’algoritmes i publicitat dirigida, entre altres. Les empreses no podran compartir o vendre qualsevol informació personal que no sigui necessària per el funcionament del servei.

Què diu el RGPD?

Diu que el consentiment només serà vàlid a partir del 16 anys. A Espanya, però, la LOPDGDD en virtut de la potestat que li atorga el RGPD, s’ha fixat l’edat en 14 anys. A la mateixa Llei, es planteja promoure una llei dirigida específicament a garantir els drets del menor davant l’impacte de Internet.

Recomanacions

La primera i més important és la supervisió parental. Hem d’entendre que els nens tenen mòbil a partir dels 10 anys (o abans). I que no tenen un telèfon sinó un smartphone. I la diferència és substancial perquè el smartphone els obre la porta a un món d’adults per el qual no estan encara preparats.

Activar els controls parentals, configurar el mòbil amb les opcions de privacitat adequades, revisar els permisos de les aplicacions, inhabilitar els identificadors són alguns altres que podem aplicar. Podeu trobar ajuda a is4k.

I diàleg. Un diàleg obert i sincer. Amb els nens, amb la família, amb els pares d’altres nens i amb l’escola. No parlar-ne no es una opció.

Com sempre, cuideu-vos i cuidem els més petits!

Menors i empremta digital

per

El post d’avui està propiciat per el recent naixement del net d’uns bons amics. Ha sigut un nen que ha nascut amb tots els pronunciaments favorables. I, com és natural, el primer que han fet els pares ha estat fer fotografies i difondre-les entre família, amics i coneguts via Whastapp i altres xarxes socials.

I què menys, direu. Des de que existeix la fotografia que els orgullosos pares han volgut immortalitzar el naixement del fill i ensenyar-la a quanta més gent millor. I això està molt bé, faltaria més, però és que ara tenim una nova variable que hem de considerar: l’empremta digital.

Abans les fotografies s’ensenyaven en un àlbum de paper. Un cop vistes, l’àlbum és guardava en un prestatge i fins la propera. Ara, no. Les fotografies són digitals i es reprodueixen a la xarxa a tota velocitat. I queden, sobretot queden per sempre. I aquest rastre del nen o de la nena, tant bufons, queda des del naixement, fins i tot des d’abans si els pares comparteixen les ecografies, i l’acompanyarà tota la vida. I hi anirem afegint: les primeres passes, la primera dent, el primer “papà” o “mamà” (això en vídeo) i així fins tenir un recull de centenars d’imatges del nadó fins que sigui major d’edat i pugui decidir. En aquell moment la seva empremta digital serà molt extensa.

El problema

La primera obvietat és que quan es puja una imatge a Internet, es perd el control sobre ella.

A partir d’aquí poden passar moltes coses bones però també de no tant bones. En el primer cas, per exemple, que una empresa de publicitat ens ofereixi un contracte publicitari per explotar la imatge del nen. Però de l’altre banda, ens podem trobar des d’empreses que facin servir la imatge sense permís fins fer servir la foto per pornografia infantil en mans de pedòfils (grooming).

El Sharenting

Com no, Sharenting és un anglicisme que combina dos termes, share (compartir) i parenting (criança). I descriu l’activitat de documentar exhaustivament i compartir irreflexivament en el món digital el creixement dels nens. Això passa sobretot a Facebook, Instagram i WhatsApp. Si l’activitat és excessiva es denomina oversharenting.

És legal publicar fotos de menors?

A Espanya, la LOPD estableix la majoria d’edat per que el menor pugui gestionar la seva privacitat a Internet en els 14 anys. Això vol dir que si vol publicar una foto ho pot fer sense el consentiment dels pares. I els pares no poden publicar un foto si el menor no ho autoritza. Si publiquen sense consentiment s’exposen a una sanció.

Per sota dels 14 anys, els progenitors o els tutors legals continuen tenint tot el poder de decisió. Si el menor vol crear un perfil a una xarxa social, necessita autorització.

En el cas de parelles separades, no pots publicar fotos del menor sense consentiment de l’altre part.

Recomanacions

Més enllà de la prudència i el sentit comú, podríem apuntar alguns consells.

  • Abans de pujar una foto del menor, pensa-ho dos vegades. Tot els que es publica, queda.
  • I, un cop publicat, queda fora del nostre control.
  • Pensar a llarg termini. La foto que ara és graciosa pot perjudicar-lo en el futur
  • Compte amb el context de la fotografia. Pot oferir molta informació com edat, estatus econòmic, ubicació (a banda del geoposicionament per les metadades), la relació amb altres persones, etc.
  • No publicar fotos del menor despullat o en situacions incòmodes.
  • Llegir les condicions de servei de les xarxes socials.
  • Preguntar al menor, tan aviat com sigui possible, si vol que pugem la foto a Internet. No ens eximeix de responsabilitat però facilita la reflexió i implica al menor en la decisió.
  • No publicar fotos d’altres menors sense consentiment dels pares (per exemple, fotos d’aniversari o del col·legi).
  • Supervisar els continguts que el menor puja a la xarxa.

Com recomanació genèrica, seguir les indicacions de la web is4k (Internet Segura for Kids), un portal d’INCIBE. Està plena de bons consells explicats de forma amena i amb continguts per compartir amb els menors.

Què fem si volem retirar les fotos (dret a l’oblit)?

En general, no es una bona idea publicar fotos de nens a les xarxes socials més enllà d’algunes fetes amb cura i prudència.

Però si ho necessitem, està al nostre abast l’exercici del Dret a l’oblit. La primera acció obvia és, si nosaltres no som els autors, demanar a l’autor que la retiri. Si no obtenim resultat, el Reglament General de Protecció de Dades (RGPD) ens empara en l’exercici del Dret de Supressió que, en l’àmbit d’Internet, es denomina Dret a l’oblit. D’això ja n’hem parlat i podeu trobar més informació aquí.

Com sempre, cuidem als menors i cuidem-nos!

Els morts vivents de les tecnològiques

per

Hi ha que assumir-ho: una hora o altre a tots ens arriba el moment de deixar aquest món. I aquest moment és molt delicat per els familiars del difunt. De manera que tot el que es faci per facilitar els tràmits serà de molt agrair. Però hi ha empreses que no tenen aquesta sensibilitat. I, és evident, cal corregir aquesta mancança.

Tot ve arran d’una nova condemna a Telefònica i un episodi, un més, molt desafortunat de Vodafone.

Els fets de Telefònica

En el primer cas, tal i com explica El País, Telefònica és condemnada per incloure en un fitxer de morosos a una persona, 18 anys després de morta. El jutge ha condemnat a la companyia a indemnitzar els hereus de la dona a la que va mantenir en un registre de deutors, tot i que li van suplantar la identitat.

La persona en qüestió va morir l’abril del 2003 i el febrer de 2021 la seva filla va rebre una carta d’Asnef (registre de morosos) informant-li que la difunta estava inclosa en un fitxer de morosos per un deute contret amb Telefònica. L’empresa reclamava una factura de de 182,39 euros emesa quan la dona ja havia mort. Algú va donar d’alta un telèfon fix amb les dades de la difunta però l’empresa no va esmenar l’error tot i rebre el certificat de defunció de la presumpte morosa.

La sentència imposa a Telefònica el pagament d’una indemnització de 10.000€ als familiars dels afectats, més interessos i costes.

Un verdader malson que, afortunadament, ha tingut un final, no dic feliç perquè l’experiència s’ho val, però al menys just.

La setmana passada també ens fèiem ressò d’una sanció imposada a Naturgy per un tractament il·lícit de dades personals com aquest, per no tenir actualitzades les dades tal i com exigeix el Reglament.

Els fets de Vodafone.

Segons explica Enrique Dans, un conegut periodista i activista britànic, George Monbiot, va intentar cancel·lar el contracte de mòbil de la seva mare, arran de la seva mort. La companyia va començar a posar tot tipus de dificultats i a assetjar al seu pare demanant dades con la data exacte en que havia signat el contracte, que naturalment no podia recordar, amb “extrema rudesa i agressivitat”-

Davant de la impossibilitat de cancel·lar el compte, van decidir deixar d’assumir els càrrecs. I, com no podia ser d’altre manera, Vodafone els va incloure en un fitxer de morosos en una empresa que va continuar importunant al pare.

Aquest cas, es va poder solucionar ràpidament perquè el periodista va escriure un fil molt detallat en el seu compte de Twitter que té al voltant de mig milió de seguidors. Milers de retweets i likes van fer la seva màgia amb molts seguidors relatant experiències similars. Vodafone va demanar immediatament disculpes però el periodista no es conforma perquè entén que la manera de procedir és part d’una política corporativa i vol arribar al fons de l’assumpte. Com diu el professor Dans, amb episodis com aquest, “a Vodafone se li estaran apareixen els seus mort durant bastant temps”.

La conclusió

En ambdós casos, es crea un menyscapte i una angoixa degut a l’assetjament i la impotència, absolutament desproporcionats amb el deutes quan, a més , no són veritat.

Tot sembla indicar que les actuacions responen a una política corporativa orientada donar totes les facilitats per contractar els serveis i, en canvi, a exercir màxima pressió per qui vol rescindir el contracte. I hauria de ser, al menys, tant fàcil sortir com entrar, per ser justos. El consumidor sempre és la part dèbil del contracte i ha de tenir una protecció especial.

Com sempre, cuideu-vos!

El diable sempre està en els detalls

per

El diable sempre està en els detalls, resa la dita popular. La frase s’utilitza en múltiples sentits però sempre amb la mateixa idea: moltes vegades el problema rau en la minuciositat dels detalls o en les accions que semblen no tenir importància abans que en les grans iniciatives o acords. Podem tenir-ho tot perfectament calculat i mesurat però, en el moment o lloc més inesperat, apareix el diable.

I això és el que li ha succeït a una empresa comercialitzadora del Grup Naturgy. L’aparició del diable li ha suposat una sanció de 100.000€.

Els fets

El motiu de la reclamació es que l’empresa va enviar el contracte de subministrament elèctric de la nova casa de la part reclamant, en la que incloïa totes les seves dades personals, incloent-hi la nova direcció, a l’adreça del seu antic domicili. Amb conseqüències inesperades.

Perquè, i aquí apareix el diable, el contracte el va rebre precisament la persona sobre la que hi havia una ordre d’allunyament.

L’empresa reclamada no va actualitzar la direcció principal associada a la reclamant, motiu per el qual  la còpia del contracte es va enviar a la prèvia direcció principal associada al NIF del client que va resultar ser l’antiga.

Tractament il·lícit

Diu l’AEPD que estem davant d’un tractament il·lícit de dades personals, incorrent en una infracció de l’art. 5.1.d) RGPD per no tenir actualitzades les dades de l’afectada. L’article diu que “Les dades de caràcter personal seran (…) d) exactes i, si fos necessari, actualitzades”. El responsable prendrà les mesures necessàries per garantir l’exactitud.

La sanció

A efectes de fixar l’import de la sanció, a més de la infracció tipificada en l’article 83.5.a) del RGPD, l’AEPD estima concurrents, en aquest cas, dos agreujants: 1)  La intencionalitat o negligència a la infracció, ja que donada l’activitat del reclamat (tractament de gran quantitat de dades) li és exigible més cura en el tractament de les dades i 2) La vinculació de l’activitat de l’infractor amb la realització de tractaments de dades ja que l’activitat empresarial de la reclamada (comercialitzadora d’energia)  suposa un continu tractament de dades de caràcter personal.

Tenim en compte aquestes consideracions, l’Agència decideix imposar a la reclamada la sanció de 100.000€. Com sigui que l’empresa reclamada ha reconegut la seva responsabilitat i aplicant la reducció de pagament voluntari, la sanció ha quedat reduïda a 60.000€.

El diable

Un petit error material ha comportat una sanció notable del que l’empresa es recuperarà sense dificultat. En aquest cas però hi ha un agreujant moral  que ha patit la víctima per les seves circumstàncies particulars, de molt més difícil recuperació.

No oblidem que darrera de cada dada personal hi ha una persona. Tractem adequadament les dades perquè estarem tractant adequadament a les persones. Al final, és el que importa. Cuideu-vos!

La dada personal que sempre s’oblida!

per

Quan pensem en dades personal, de seguida ens ve al cap el nom, el DNI, el rostre i tants d’altres, en particular aquells denominats de “categoria especial” com són els que es refereixen a la salut, a les nostres preferències polítiques o religioses, l’afiliació sindical, l’orientació sexual o les dades genètiques o biomètriques, per exemple. I hi ha dades personals que són menys evidents com pot ser la direcció IP (Internet Protocol), el ID de cookie, el ID dels dispositius o el IMEI dels telèfons.

I la que sempre s’oblida, tot sovint fins i tot en àmbits professionals, és la veu, dada de la que avui volem parlar.

I volem parlar de la veu arran d’una sanció que l’AEPD ha imposat recentment a Radio Televisión Madrid, SA (TeleMadrid) per difondre un àudio d’una declaració judicial. L’import ha estat de 50.000€ i la raó que la cadena de televisió va difondre la gravació, sense distorsionar, de la declaració judicial de la víctima d’una violació múltiple en diferents pàgines web i també a Twitter.

Els fets

Es presenta una reclamació perquè diversos mitjans de comunicació havien publicat en els seus portals digitals l’àudio per il·lustrar la noticia de la celebració d’un judici en un cas molt mediàtic. Els mitjans van retirar les publicacions però van quedar les realitzades en els perfils de Twitter. En aquestes publicacions es podia sentir la veu de la víctima sense el distorsionat de la veu sent, per tant, perfectament identificable.

La veu com a dada personal

Segons l’article 4.1 del RGPD, la veu d’una persona es una dada personal en tant la fa identificable i la seva protecció és, en conseqüència, objecte del Reglament.

La veu és un atribut personal propi i individual de cada persona física que es defineix per la seva alçada, intensitat i timbre.

Té trets  distintius únics i singulars que la individualitzen de manera directa, associant-la a un individu concret, és modulada en parlar, podent conèixer, a través d’ella l’edat, el sexe, l’estat de salut del individu, la seva manera de ser, la seva cultura, el seu origen, el seu estat hormonal, emocional i psíquic. Elements de l’expressió, l’idiolecte o l’ entonació, també són dades de caràcter personal considerats conjuntament amb la veu.

Equilibri entre la protecció de dades i llibertat d’informació

Ambdós drets estan sempre en un equilibri precari. En aquest cas, però, l’AEPD considera que el tractament ha estat excessiu, al no existir un interès públic informatiu prevalent en la difusió de la veu de la víctima sense distorsionar que no aportava cap valor afegit.

L’Agència també a considerat la naturalesa especialment sensible de les dades personals i l’afectació a la intimitat de la víctima  “que mereix més protecció l’interès de la titular del dret a la protecció de les seves dades personals”.

Segons la directora de la Institució, es tracta de “fer plenament compatibles els drets perquè quedin ambdós absolutament garantits”.

La sanció

L’AEPD qualifica la infracció de molt greu perquè comporta una pèrdua de disposició i control de les dades personals i, a més, al difondre’ls es condemna novament a la víctima a ser reconeguda per tercers, amb els greus danys i perjudicis que s’ocasionen.

No s’aprecia intencionalitat però si l’agreujant de negligència perquè distorsionar la veu es fa amb freqüència en els mitjans audiovisuals, màxim en circumstàncies tan sensibles.

Es considera que la infracció suposa un greu perjudici per l’afectada ja que el succés està vinculat a la seva vida sexual.

Dret a l’oblit

És oportú recordar aquí el dret al oblit que, emparats en el RGPD, tenim tots els ciutadans. És el dret a sol·licitar, sota determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada pel teu nom. Si teniu algun dubte respecte a aquest dret, podeu fer-nos una consulta aquí, sense compromís.

Per acabar, no agreugem el patiment de les víctimes reenviant continguts lesius per les persones. La responsabilitat és nostra. Com sempre, cuideu-vos i cuidem als demés!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2024 Tots els drets reservats

Revisió Texts legals web