Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Google no oblida. L’AEPD tampoc …

per

L’Agència Espanyola de Protecció de Dades (AEPD) l’acaba de sancionar a Google amb una multa rècord de 10 milions d’euros per cometre dos infraccions molt greus: una, per cedir dades a tercers i l’altre per obstaculitzar amb un formulari confús que la tecnològica posava a disposició dels usuaris, precisament, per exercir el dret a l’oblit.

Dos infraccions molt greus contra la normativa de protecció de dades que suposen una multa rècord de 10 milions d’euros per cedir dades a tercers sense legitimació per fer-ho i obstaculitzar el dret de supressió dels ciutadans, vulnerant els articles 6 y 17 del Reglament General de Protecció de Dades (RGPD).

Pel que fa a la primera, la cessió inconsentida de dades, l’Agència ha constatat que Google envia al Projecte Lumen informació de sol·licituds que li fan els usuaris, incloent-hi la identificació, adreça de correu electrònic, motius al·legats i la URL reclamada. La finalitat del projecte és la recollida i posada a disposició de sol·licituds de retirada de contingut en una base de dades accessible al públic, el que, en la pràctica, suposa frustrar la finalitat del dret de supressió.

Recordem que el dret a l’oblit permet sol·licitar, en determinades condicions, que els enllaços a les teves dades personals no figurin en els resultats d’una recerca a Internet realitzada en el teu nom. L’exercici d’aquest dret no elimina el contingut en sí però, al no estar disponible en els motors de recerca dels indexadors (Google, Bing, Yahoo, etc.), ho fa més difícil.

Lumen Database disposa d’un cercador de reclamacions que s’allotgen a la seva base de dades que es pot consultar per diversos paràmetres (paraules clau, remitents, temes, …)

De manera que, si pots trobar-ho a la base de dades de Lumen ja no existeix el dret a l’oblit.

Pel que fa a la segona, l’exercici del dret mitjançant el formulari que ofereix Google, l’AEPD ha entès que és complex, confon a l’usuari i feia molt difícil que es pogués exercir el dret a l’oblit correctament. El sistema conduïa a l’interessat a través de diverses pàgines per complimentar la sol·licitud, sense mencionar la normativa de protecció de dades de referència, obligant-lo a marcar opcions que se li oferien sense explicacions.

Com resultat d’aquest procediment, queda a criteri de Google la decisió de quan s’aplica i quan no el RGPD, de forma que “acceptar el dret de supressió de dades personals queda condicionat per el sistema d’eliminació de continguts per part de l’entitat responsable”.

Segons Google, ja han començat a “reavaluar i redissenyar les pràctiques d’intercanvi de dades amb Lumen a la llum de les consideracions de l’AEPD”. De les consideracions i, apuntem, de la sanció.

Siguem curosos amb la nostra informació perquè quan aquesta es publica a Internet ja no queda a les nostres mans. Com sempre, cuideu-vos!

‘Fake news’ i empresa, què hem de saber?

per

Temps enrere vam parlar de les deepfakes i ara volem fer una ullada a com les ‘fake news’ poden afectar a les empreses.

Estem, i cada dia més, entrant de ple en l’era de la infoxicació (overload Information). Aquest neologisme fa referència al concepte de sobrecàrrega informativa que té lloc quan la quantitat o la intensitat d’informació excedeixen la capacitat limitada de processament de l’ individu, la qual cosa pot provocar efectes disfuncionals. El terme el devem a Alfons Cornella, fundador del Institut Next.

Mitjans competint per l’audiència i per omplir parrilles i milions d’usuaris que, de cop i volta, ens hem tornat periodistes, comentaristes, influencers i no sé quantes coses més. I, com és natural, les xarxes socials han elevat la infoxicació a l’enèsima potència.

Afegim-li els esdeveniments extraordinaris que d’ençà a uns anys estem vivint: pandèmia, naturalesa desfermada, guerra, crisis climàtica i un llarg reguitzell que afegeix pressió a la caldera informativa.

Tos aquest cúmul de circumstàncies fa que cada cop siguem menys curosos amb la verificació de la informació que rebem, no tenim temps, ni ganes, de contrastar-la ni molt menys de refutar-la. I ja tenim un excel·lent caldo de cultiu per les fake news.

Però tot això, que en l’esfera privada pot tenir conseqüències que van des de lleus (s’anuncia de forma falsament intencionada que un jugador fitxarà per un altre equip la propera temporada) a molt greus (com pot ser l’assetjament sexual), en el cas de les empreses els efectes poden ser devastadors si no es prenen mesures.

En efecte, a l’empresa hi ha dos vessants, com a mínim, que s’han de cobrir. D’una banda, la difusió per part de la nostra empresa de informacions falses: alertar d’una suposada escassetat d’un producte per fer-ne pujar el preu, difondre notícies negatives sense fonament sobre un competidor o fer publicitat denigratòria. En aquests casos podríem estar infringint una sèrie de normatives que van des de la Llei General de comunicació audiovisual (art.61) a la Llei de Competència deslleial (art 27.3), entre altres.

I, a contrari sensu, la nostre empresa en pot ser l’afectada. Sigui per alguna noticia falsa de les esmentades, que totes tindran recorregut en els tribunals amb les conegudes dificultats probatòries, o, i això és més subtil, que una informació no contrastada ens porti a prendre una decisió desencertada amb el conseqüent perjudici econòmic o, pitjor, reputacional.

En aquest punt, cal fer unes recomanacions per intentar minimitzar els possibles perills. Partir del convenciment que no tot el que es publica, amb independència del mitjà, es fiable i aplicar grans dosis d’escepticisme i sentit comú acostuma a ser un bon començament. Recórrer a la font original (i sospitar si no es cita), buscar la informació en altres fonts, distingir entre informació i opinió i no creure per defecte aquella informació que s’adapta al nostre biaix poden ser bones guies per no caure en el parany.

Des de notícies falses per intentar manipular eleccions fins a notícies alarmants a propòsit del COVID estem sotmesos a una pluja de informacions que necessàriament hem de contrastar si volem evitar situacions adverses, tant en el pla personal com en el professional.

Potser ens convindria un ‘detox‘ informatiu. Mentrestant i com sempre, cuideu-vos!

UE – EEUU, llum al final del túnel?

per

Pocs dies enrere, va saltar la noticia que la UE i els EEUU havien arribat a un acord per transferir, entre els dos espais, dades personals, garantint-ne la privacitat. La transferència de dades estava suspesa des del passat 2020, quan el Tribunal de Justícia de la Unió Europea (TJUE) va anul·lar l’acord anomenat “Privacy Shield” al considerar que els EEUU no oferien suficients garanties per la privacitat dels ciutadans europeus.

Aquest anunci del President Biden s’ha de prendre, com sempre, amb molta cautela, per varies raons. Primer, perquè per el que sembla, estem davant d’una declaració d’intencions. Segon, perquè, de ser així, hi ha molta feina per endavant i no és una qüestió que es resoldrà en unes setmanes. I, tercer, perquè, o molt ens equivoquem però costa creure que Max Schrems (l’activista que va impulsar les demandes que van donar origen a l’anul·lació) es conformi sense presentar batalla.

Ja n’hem parlat de la qüestió en diverses ocasions (1,2,3,4) però fem un resum de com hem arribat fins aquí.

Tot i que el RGPD preveu altres mecanismes per blindar la privacitat de les dades en les transferències internacionals (per exemple, les SCC –Standard Contractual Clauses– o les BCR –Binding Corporate Rules) és evident que un acord marc d’adhesió per part de les empreses americanes com el Privacy Shield facilitava molt les coses, a tots dos costats de l’Atlàntic. Les empreses americanes només tenien que adherir-se amb un auto-certificat a els principis establerts per el Departament de Comerç dels EEUU. I les empreses, a més de complir amb les seves obligacions, només tenien que assegurar-se que l’empresa que tractava les dades estava en la llista. Aquest plantejament va saltar per els aires el juliol del 2020 amb l’esmentada sentencia.

I que suposa que l’Escut de Privacitat no estigui en vigor? Doncs que anem cap a dos anys d’incompliment continuat. Google, Facebook, Mailchimp i totes les empreses americanes que donen servei a empreses europees estan en fals. I les empreses europees estan, directament, incomplint perquè transfereixen dades sense garanties. De vegades de forma molt grollera com pot ser el cas de Mailchimp i d’altres, de forma més subtil com pot ser fent servir Google Analytics.             

I que diu el comunicat que pretén resoldre la situació?

Doncs literalment diu que “Avui hem aconseguit un acord sense precedents sobre la protecció de la privadesa de les dades i la seguretat dels nostres ciutadans”. L’acord “permetrà el flux de dades entre la UE i els EUA de forma predictible, fiable, equilibrant la seguretat, els drets a la privadesa i la protecció de dades”, va assegurar Von der Leyen. I, segons Biden, que es reprengui el flux de dades tindrà un impacte positiu estimat en uns 6.500 milions d’euros.

Interessos econòmics versus privacitat. I, està clar, al final hem d’aconseguir el millor d’ambdós aspectes: permetre el la transferència de dades sense perjudicar a les empreses i la seva economia però mantenint la privacitat que emana del RGPD. Per aquesta és la garantia de la prosperitat per les economies occidentals.

Com sempre, vigileu les vostres dades i cuideu-vos!

Del intèrfon al Whatsapp?

per

Dic lo del intèrfon perquè encara no el sabem fer anar correctament i ara cada dia hem d’aprendre coses noves. Doncs bé, avui toca repassar el Whastapp, que tots fem servir, perquè hi ha aspectes dels quals potser no en som conscients i ens poden ocasionar problemes. Hi ha conductes, fins i tot, que es poden tipificar com a delicte i tenir conseqüències penals.

Més enllà de qüestions bàsiques com la de demanar el consentiment per afegir a alguna persona a un xat grupal (exemple clàssic són el grup de pares de la classe o el grup de viatge, en el marc de la normativa de protecció de dades) o la difusió d’imatges íntimes, amb o sense consentiment (que vulnera l’article 197.7 del nostre Codi Penal) i ha altres conductes més desconegudes que també poden comportar conseqüències.

Parlem, per exemple, de pràctiques molt habituals com és el compartir fotografies i reenviar captures de pantalla amb converses alienes, i arxius, mitjançant Whatsapp. Són infraccions, sinó delicte, quan es fa sense el consentiment dels afectats i són especialment greus quan les dades es difonen de manera oberta i a un gran nombre de destinataris. Sense oblidar la protecció dels menors i les persones vulnerables.

En aquests supòsits podríem estar lesionant el dret a la intimitat o al honor de les persones implicades. També pot ser delicte difondre àudios, vídeos o simplement imatges d’un tercer sense consentiment. En el casos més greus es pot incorre en un delicte de descobriment i revelació de secrets.

Un altre conducta a la que em vull referir és a l’espionatge del mòbil d’una altre persona. Accedir al contingut d’un mòbil aliè i fer-se amb la informació que conté –fotos, vídeos, converses, etc. ­és delicte si no estàs autoritzat  per el propietari del dispositiu. Si a més es reenvia la informació a altres persones també es comet una il·legalitat, fins i tot la cometen els qui la difonen encara que no hagin participat en la seva obtenció. Recordem alguns exemple, de vegades molt tristos, com el de la treballadora d’Iveco o el d’Amanda Todd.

Respecta a l’espionatge, val a dir que el Codi Penal castiga fins i tot la mera adquisició de programes o contrasenyes destinats a facilitar l’accés al dispositiu d’una altre persona. Però si,  a més, s’instal·len i es descobreix la intimitat del propietari, estaríem davant d’un delicte de descobriment i revelació de secrets recollit en el citat article 197 del Codi Penal que preveu penes de presó d’un a quatre anys i multa de dotze a 24 mesos. No és cap broma.

Ens deixem en el tinter molts altres conductes habituals que tenen caràcter d’il·lícites com poden ser les amenaces, les injuries, les calumnies, el grooming (entabanar menors perquè facilitin material sexual explícit) , el stalking (assetjament) i altres.

La tecnologia posa en les nostres mans mitjans que fins fa poc eren ciència ficció. Hem d’aprendre a fer-los servir i, sobretot, formar als menors perquè, des de la inconsciència pròpia de l’edat, hi ha conductes que, més enllà del seu retret penal, poden tenir greus conseqüències per les persones afectades. Com sempre, sentit comú i prudència.

Apreneu, també, com funciona l’intèrfon que va sent hora. Cuideu-vos!

Quan la realitat supera a la ficció, un cop més

per

La RAE recull en el seu diccionari, sota la primer accepció de realitat, la “existència real i efectiva d’alguna cosa”. I, en la segona, “veritat, el que passa veritablement”. I per realitat virtual, la “representació d’escenes o imatges d’objectes produïda per un sistema informàtic, que fa la sensació de la seva existència real”.

Ve això a tomb de algunes notícies aparegudes als mitjans en els últims dies referides als “deepfakes”.  El terme es va popularitzar l’any passat arrel de l’aparició a la xarxa social TikTok del compte “deeptomcruise” que en qüestió de minuts es tornar viral amb milions de seguidors.

En el compte es poden veure imatges del famós actor fent trucs de màgia, tocant la guitarra, promocionant productes de neteja industrial i altre activitats, totes elles amb el denominador comú de ser falses o, com es diu ara, “fakes. Això amb un realisme inquietant per les possibilitats, tant bones com dolentes, que se’ns poden ocórrer.

Tant és així que provoquen l’efecte que es denomina “uncanny valley”. Una hipòtesi que afirma que quan les rèpliques antropomòrfiques se apropen en excés a l’aparença i comportament d’un ser humà real, causen una resposta de rebuig entre els observadors humans. Val la pena visualitzar alguns vídeos per fer-nos una idea fins on pot arribar aquesta tecnologia que no ha fet més que començar.

De fet, segons Scientific American, “els humans troben les cares generades per IA més fiables que les reals”. La veritat és que les imatges generades per ordinador amb Intel·ligència Artificial són pràcticament indistingibles de les cares humanes.

I aquesta tecnologia planteja moltes qüestions a les que se’ls haurà de donar resposta. Perquè això va més enllà del Photoshop o dels extraordinaris efectes especials als que Hollywood ens ha acostumat en els darrers anys. Ara qualsevol pot, de forma molt fàcil i econòmica (a Internet hi ha molts programes per fer-ho), substituir una cara en un vídeo o en una foto i que resulti imperceptible al espectador.

Tecnologia que permet des de fer una broma o divertir-se posant la pròpia cara a un personatge de ficció en el cine (podem ser Rick o Ilsa a Casablanca, per exemple) fins a fer campanyes de desinformació (polítiques o d’una altre mena), creació d’escenes porno falses per fer xantatge o qualsevol altre actuació orientada al frau, a l’abús o qualsevol iniciativa orientada a extorquir a un altre.

Naturalment, com amb qualsevol nova tecnologia, ja han sortit al mercat eines per ajudar a identificar els “deepfakes” i ha començat la guerra entre dos tecnologies oposades. I també, com era previsible, ja surten veus que proposen prohibir la tecnologia per els perills que pot comportar. Prohibició que, òbviament, tindrà poc recorregut. Crec més possible la instal·lació en el dispositiu d’un programari tipus antivirus que detecti els deepfakes, de manera que no siguem presa dels delinqüents.

I això, a ben segur, no ha fet més que començar.

Com sempre, cuideu-vos!

Què en saps de Google Analytics?

per

Doncs si en saps poc o res i tens una web que fa servir cookies per recollir dades de Google Analytics, ja pots anar-ne aprenent de pressa. El Supervisor Europeu de Protecció de Dades acaba de sancionar el Parlament Europeu per infringir el Reglament de Protecció de Dades en utilitzar, precisament, Google Analytics.

No deixa de tenir gràcia que la primera sanció d’aquesta mena s’hagi imposat al Parlament Europeu. És clar que, a partir d’aquí, tots –empreses, administracions, institucions, etc.– hauran de complir la normativa perquè, com deia el clàssic de Rojas Zorrilla, “del rey abajo, ninguno”.

Durant la pandèmia, el Parlament va contractar a una empresa per a la realització de proves de detecció de Covid als europarlamentaris i a la resta de treballadors de la Càmera. Els usuaris s’havien de registrar en la web del proveïdor que feia servir cookies  de Google Analytics i de la passarel·la de pagament Stripe. Les dades personals recollits eren  transferits al Estats Units sense suficient garanties de protecció.  El Parlament ha estat apercebut i obligat a actualitzar els avisos relatius al tractament de les dades personals.

I això en què ens afecta? Doncs que qualsevol web, i són la majoria, fan servir cookies de Google Analytics i les dades recollides són transferides als Estats Units, cometen una infracció en matèria de protecció de dades. No és l’únic cas. MailChimp és un altre empresa molt coneguda, que es fa servir per milers d’empreses per fer mailings, que tampoc compleix amb la normativa. I els seus clients, per tant, tampoc.

I això, perquè passa?

Doncs això passa perquè l’estiu del 2020, arrel de la històrica sentència coneguda com Schrems II, una resolució del Tribunal de Justícia de la Unió Europea va invalidar l’escut de protecció de la privacitat (Privacy Shield) entre la Unió Europea i els Estats Units per no complir amb els nivells de protecció comunitaris. El que vol dir que si volem continuar transferint dades haurem de fer-ho augmentant les garanties per l’usuari (per exemple, amb Clàusules Contractuals Tipus CTT, Normes  Corporatives Vinculants NCV i altres).

Si no s’estableixen les garanties i mesures tècniques adequades, a les empreses espanyoles –europees– no els hi que altre que allotjar les dades en servidors localitzats fora dels Estats Units. I posats a canviar, la recomanació és fer-ho a territori comunitari. I el que diem és vàlid, no tan sols per el cloud sinó també per aquelles aplicacions que fem servir a diari i que, moltes vegades inadvertidament per gairebé tothom, transfereixen les dades a un país no adequat.

Lo dit. Anem en compte. I quan contractem un servei (web, cloud, màrqueting, etc.) fem la pregunta de rigor: es fan transferències internacionals de dades personals? I no ens conformem amb una resposta verbal. Demanem-ho per escrit al proveïdor.

Com sempre, cuideu les dades i Cuideu-vos!  

Publiques fotos dels teus treballadors a la web o a les xarxes socials?

per

Doncs cal anar en compte. L’AEPD ha sancionat a una empresa amb 9.000 euros per publicar a la seva web i xarxes socials fotos d’un treballador sense el seu consentiment.

Perquè publicar imatges d’un treballador sense permís és sancionable però no fer cas de les peticions per retirar-les encara més. Això és el que li ha passat a una empresa de formació que ha estat sancionada amb 9.000 € per tractar les dades del treballador sense consentiment (6.000 €) i no atendre les demandes per eliminar las imatges de les xarxes socials (Facebook i Instagram), uns altres 3.000 €. A més del cost reputacional, és clar. No és cap broma.

Així ho ha entès l’AEPD en la seva Resolució de Procediment Sancionador. L’empresa va publicar fotografies de la treballadora sense consentiment. I la treballadora va demanar a l’empresa, al menys en dos ocasions, que retiressin les fotografies en les que apareixia, sense que l’empresa atengués la seva petició. Després de intentar-ho una segona vegada, de nou sense èxit, la treballadora afectada va presentar una reclamació, el novembre de 2020, davant l’AEPD.

L’Agència va intentar posar-se, per diferents vies, en contacte amb l’empresa sense aconseguir-ho. Va quedar acreditat que l’empresa havia dut a terme un tractament de dades consistent en haver pujat les fotografies a la seva pàgina web i a les seves xarxes socials. No consta que l’exhibició de les imatges estigués emparada per cap base legitimadora del art. 6 RGPD (per exemple, el consentiment), quedant acreditada la comissió de la infracció.

Per agreujar-ho més si és possible, l’empresa no va atendre el dret de supressió de la interessada, emparat per l’article 17 RGPD, i no va excloure les dades personals del seu tractament. Segons aquest article “l’interessat tindrà dret a obtenir sense dilació indeguda del responsable del tractament la supressió de les dades personals que li concerneixin”. I el responsable estarà obligat a suprimir sense tardar les dades personals quan, entre altres condicions, es doni la que recull l’apartat “d) les dades personals hagin estat tractades il·lícitament”.

Per graduar les sancions, l’Agència considera que els tractaments venen de lluny -des del 2017 al 2020-, la quantitat no és escassa i l’abast és important ja que figuren en dos xarxes socials i la pròpia web de l’empresa. Respecte a la infracció per no atendre el dret de supressió de l’article 17 RGPD, l’Agència relata que es va sol·licitar en dos ocasions, sense obtenir cap resposta, el que posa de manifest un manca de compliment en els deures que li corresponen a l’empresa.

Aprenguem la lliçó. No es poden publicar imatges dels treballadors sense el seu consentiment. Atenguem les peticions de supressió que ens facin. La manca de diligència és imperdonable. I un recordatori. Quan un treballador deixa l’empresa (acomiadat o per voluntat pròpia), recordem suprimir les imatges en les que apareix (web, xarxes, fulletons, anuncis, etc.). Tret, es clar, que no tinguem el seu consentiment exprés.

Com sempre, Cuideu-vos!

L’agressió sexual ja està passant al metavers

per

Meta afirma que els usuaris no ho feien servir correctament. La plataforma de realitat virtual  Horizon Worlds, amb prou feines acaba de presentar-se al públic, i els usuaris ja estan sent assetjats sexualment i fins i tot agredits, segons podem llegir a The Verge.

Comencem per el principi. Què és Meta? El passat mes d’octubre, per els que ho desconeixen, l’inefable Mark Zuckerberg va presentar Meta, la nova marca de Facebook, la finalitat de la qual serà donar vida al metavers i ajudar la gent a connectar-se, trobar comunitats i fer créixer negocis. En la presentació, Zuckerberg va explicar que, a partir d’ara, la seva companyia es centraria en aquesta en fer realitat aquesta idea, la del metavers, i, per tant, tenia sentit canviar el nom per reflectir millor els seus objectius: Facebook ara es diu Meta.

La realitat és que, segons sembla, el canvi de nom representa un intent per desfer-se de lo que els propis empleats consideren una marca tòxica i que afecta, cada dia més, a la percepció dels seus productes. La marca que fins fa uns anys era reconeguda i valorada, ha perdut la seva reputació, val a dir, que per els errors comesos per el seu fundador. Els escàndols de privacitat s’associen cada cop més amb la marca FB. Recordem només el de Cambridge Analytica que, tot i ser dels més famosos, no ha estat l’únic ni molt menys.

I què és el metavers? Podríem entendre-ho com un ciberespai evolucionat. En un sentit ampli, involucra una sèrie de tecnologies, la primera de les quals és la realitat virtual, caracteritzada per mons virtuals persistents que continuen existint, amb vida pròpia, encara que tu no hi siguis. L’accés al metavers es fa a través d’ulleres de realitat virtual com, per exemple, Oculus. El metavers obre nous horitzons i un munt de possibilitats. Com podia ser Internet a finals dels 70 del segle passat. Ningú sabia exactament com seria però tothom (els que estaven al corrent de la tecnologia) tenien la percepció que seria una cosa gran. Bé, al final esta sent una cosa immensa que no es veu on acabarà.

I tot això és per explicar que la plataforma de Zuckerberg ja ha patit la primera ensopegada. En efecte, ja han arribat les primeres denúncies per assetjament i fins i tot per agressió sexual. Segons un testimoni, “No només em van palpar ahir a la nit, sinó que hi havia altres persones que van donar suport a aquest comportament que em va fer sentir aïllada a la Plaça.”

La condició humana no canvia ni tant sols en el metavers. Comportament delictiu en uns i mirar cap un altra cantó, els altres. Està clar que ens hem d’adaptar el que ve perquè és inevitable. De manera similar a que no poden anar contra la llei de la gravetat, tampoc podem anar contra el metavers. Això sí, ja de bon començament hem de assentar les bases de convivència. Si no, se’ns anirà de les mans.

Com sempre, cuideu-vos (en el metavers, també)!

FanPages, compliment obligat del RGPD

per

Arran d’una consulta empresarial, fem aquest post per aclarir conceptes sobre la relació entre les FanPages i el RGPD. La resposta curta és que sí, les empreses que les fan servir han de complir amb la normativa de protecció de dades.

Començarem per explicar, per qui no ho sàpiga, què és una FanPage. Las fanpages són una funcionalitat que Facebook va introduir ja fa anys. És una pàgina creada especialment per ser un canal de comunicació amb fans dins de la xarxa social.

A diferència dels perfils, són espais que reuneixen a persones interessades sobre un assumpte, empresa, una causa o algun tret en comú sense la necessitat de l’aprovació d’amistat. És el fan qui tria si seguirà o no les actualitzacions d’una determinada pàgina.

Són canals de comunicació molt apreciats per les empreses perquè és una forma econòmica, ràpida, senzilla i quantificable de comunicar en temps real amb clients potencials. Una espècie de televisió o ràdio o diari però amb uns costos infinitament més econòmics.

Les preguntes que ens feia l’empresari eren bàsicament dos: estem obligats a complir amb el RGPD i, si és així, què hem de fer?

A efectes de la normativa de protecció de dades, aquestes pàgines funcionen com una pàgina web. Recullen dades personals dels usuaris i, per tant, s’ha d’aplicar la mateixa normativa, és a dir, proporcionar accés a l’Avís legal, a la Política de Privacitat i a la Política de Cookies de l’empresa. I naturalment que tota la documentació compleixi la normativa vigent. Si a més, com és freqüent, l’empresa instal·la el píxel de seguiment de Facebook, amb més motiu. Però del píxel ja en parlarem un altre dia.

Dit això i entenen que és una pàgina situada en una plataforma en la que l’empresa té molt poc marge de maniobra, convé establir qui és realment el responsable de les dades personals, l’empresa o Facebook. Doncs tots dos.

Una sentència de juny de 2018 del Tribunal de Justícia de la Unió Europea va resoldre que el concepte de responsable del tractament comprenia també a l’administrador d’un pàgina web allotjada en una xarxa social. Segons la sentència, tot i que Facebook tracta les dades personals mitjançant cookies sense informar a l’empresa, no és menys cert que FB posa a disposició de l’empresa estadístiques (anonimitzades) dels visitants i que l’empresa pot definir criteris a partir dels quals s’han d’elaborar les estadístiques i, fins i tot, designar les categories de persones les dades de les quals seran objecte d’explotació per part de FB. La sentència conclou que l’administrador de la pàgina ha de ser qualificat com responsable del tractament conjuntament amb FB.

Per tant hem de complir: informar de les dades i la seva finalitat, recollir el consentiment explícit per el tractament, demanar només les dades necessàries, no fer servir les dades per finalitat diferent a la demanada, no conservar les dades més temps del necessari, implementar mesures i organitzatives adequades, atendre les sol·licituds d’exercici dels drets dels usuari i crear la corresponent activitat en el Registre.

Com sempre, atents a tots els detalls de compliment. I si teniu dubtes, consulteu-nos.

I el més important, cuideu-vos!

Revisió Texts legals web