Claus sobre Protecció de Dades en el treball

L’Agència Espanyola de Protecció de Dades ha publicat una guia sobre protecció de dades i relacions laborals. El document encara qüestions com la consulta de l’empleador a les xarxes socials, els sistemes  interns de denuncies (whistleblowing), el registre de la jornada laboral, la protecció de dades de les víctimes d’assetjament a la feina, els de les dones supervivents a la violència de gènere o l’ús de tecnologia wearable com element de control.

La protecció de dades en l’àmbit laboral sempre ha estat envoltada de polèmica. Fins fa poc, però, es mantenia en la col·lisió dels drets fonamentals del treballador respecte a la seva intimitat amb l’ús – i moltes vegades abús- de la tecnologia per part de la direcció empresarial. L’accés indegut a les comunicacions electròniques del treballador (cas Barbulescu) o la utilització indiscriminada de les càmeres de vigilància són dos dels exemples més coneguts.

L’Agència aborda ara temes de molta actualitat. Per exemple, l’ús de les xarxes socials per part dels departaments de selecció de personal que no  tenen permís per indagar en els perfils dels candidats, ni durant el procés de selecció ni durant l’execució del contracte, encara que el perfil sigui d’accés públic. L’empresa, fins i tot, no està legitimada per sol·licitar “amistat” als candidats perquè proporcionin accés a continguts dels seus perfils.

Pel que fa als sistemes interns de denuncies, s’admeten denuncies anònimes i, quan no ho sigui, la confidencialitat de la informació i del denunciat han de preservar-se. Només es podran accedir aquestes dades en cas de procediments disciplinaris i notificacions a les autoritats de fet constitutius d’il·lícit penal o administratiu.

Respecte el registre de jornada laboral, l’AEPD recomana que aquest sigui el menys invasiu possible, sense que sigui d’accés públic ni visible per tots. I aquesta informació no es pot fer servir per finalitats diferents com, per exemple, geolocalitzar al treballador.

L’Agència s’ocupa també de les víctimes d’assetjament a la feina i de la violència de gènere, atorgant amb caràcter general la consideració de categoria especial de les dades personals, considerant-los dades sensibles que requereixen una protecció reforçada.

L’Agència recorda que l’única base jurídica que legitima el tractament de les dades és l’execució d’un contracte de treball (a més del imperatiu legal o per un conveni col·lectiu).  I cal facilitar la informació corresponent, explicar els drets que assisteixen als treballadors en aquesta matèria i com exercir-los.

Són tots temes rellevants en l’àmbit laboral que, empresaris i treballadors han de tenir molt present en el dia a dia.

Cuideu-vos!

He llegit i accepto …

Així acaben (els que compleixen) els formularis web, just abans de prémer el botó d’Enviar.  La frase completa és “He llegit i accepto la Política de Privacitat” i inclou un casella per marcar (si no es marca, no es pot enviar el formulari) i un enllaç perquè l’usuari pugui navegar còmodament a veure les condicions en que presta el seu consentiment. I prestar-lo, o no, en funció d’aquestes condicions.

El consentiment és una de les bases de licitud de tractament més important i més àmpliament utilitzada de les que reconeix l’art. 6.1 RGPD. Hi ha d’altres com l’execució d’un contracte (per exemple, de serveis), per obligació legal (si ho demana un jutge) o l’interès legítim, vertader calaix de sastre per encabir permisos de tractament de lo més variat.

Els usuaris som cada dia més conscients de la importància de exercir el control sobre les nostres dades personals. Però, sabem realment el que acceptem quan prestem el consentiment? De veritat llegim la Política de Privacitat, les Condicions d’Ús o de Contractació? O, posats a demanar, llegim la Política de Cookies?

I el que és més important, a més de llegir, entenem el que diu? La comprenem? Som capaços d’anticipar les conseqüències de la nostra decisió? Estem manifestant una voluntat en base a una decisió racional i informada que manifestem de forma lliure i espontània? Perquè així ho exigeix el Reglament.

La qüestió no és senzilla de resoldre. Tot i que amb el RGPD les condicions del consentiment s’han endurit, la realitat és que al cap del dia hem de prestar el consentiment diverses vegades, des de comprar per internet fins a veure les notícies d’un diari, passant per infinitat de situacions quotidianes (per exemple, actualitzacions de apps que renoven les condicions) que ens esgoten i ens fan optar per marcar la casella del consentiment sense complir les condicions.

Això sense comptar en que a la xarxa trobem, encara, molts formulari que no tenen Política de Privacitat o que, si la tenen, no es clara, és llarga i farragosa amb la lletra molt petita i, en moltes ocasions, las finalitats del tractament no es corresponen amb la realitat o s’inclouen clàusules inacceptables per l’usuari.

Tots tenim clar que les nostres dades són molt valuoses per empreses que les monetitzen compartint-les o venent-les a intermediaris que creen perfils i fent servir tècniques de Big Data, Intel·ligència artificial i altres tecnologies punteres saben, cada dia més i millor, quins són els nostres hàbits, interessos i preferències.

Anem en compte a qui donem el nostre consentiment i fem el possible per llegir i entendre les polítiques de privacitat. És important.

Un altre dia explicarem com llegir i entendre un text legal de protecció de dades.

Mentrestant, cuideu-vos!

“Segueixes navegant” amb les cookies?

El passat 31/10/2020 es va acabar el termini que la Agència Espanyola de Protecció de Dades (AEPD) havia donat per adaptar-se a les noves Directrius del Comitè Europeu de Protecció de Dades que afectaven a la regulació que, fins el moment, existia sobre les cookies.

Concretament, les directrius giren en torn a dos qüestions principals:

  • La validesa de l’opció “Seguir navegant” com forma de prestar el consentiment per part dels usuaris.
  • Sobre la possibilitat de limitar l’accés a determinats serveis o continguts només als usuaris que acceptin l’ús de cookies. El que es coneix a la indústria com “mur de cookies”.

D’aquesta qüestió ja ens hem ocupat anteriorment (Cookies again … i Cookies s’ha acabat el temps). L’AEPD va publicar el juliol la “Guia sobre l’ús de les cookies” que ofereix orientacions més que obligacions. Les obligacions, que sí imposa la normativa, són el principi de transparència en la informació i la lliure prestació del consentiment amb una clara afirmació positiva. Per tant, l’opció de “seguir navegant” i els “murs de cookies” ja no són vàlides des del passat dia 31.

De totes formes, la qüestió no és pacífica. El passat 1 d’octubre, l’autoritat francesa de protecció de dades (CNIL) va publicar unes directrius que possibilita instal·lar cookies sense demanar el consentiment sempre que es compleixin determinats requisits.

D’altre banda, l’interès legítim que s’està fent servir a Espanya per molts avisos de cookies és una pràctica que, ja el passat setembre, el Comitè Europeu de Protecció de Dades va dir que no podia fer-se servir com fonament jurídic apropiat per a la instal·lació de cookies.

Mentrestant, la nostra recomanació és la d’adaptar-se per complir amb les obligacions certes que tenim en aquest moment: seguir navegant i els murs de cookies no són una opció. I hem d’actuar sota el principi de transparència de la informació (explicar a l’usuari quines cookies volem instal·lar i perquè les volem fer servir)  i el de lliure prestació del consentiment (fer servir únicament cookies tècniques i permetre a l’usuari fer una clara afirmació positiva respecte a la resta).

Així, a més de complir, transmetrem confiança als nostres usuaris. El que, al final, és, junt a evitar sancions, el que més ens interessa.

Nota: Tot això que hem dit és vàlid també per a les apps que es fan servir en tablets i mòbils.

Imatge Pixabay

L’AEPD publica els resultats del seu pla d’auditoria sobre la contractació de serveis a distància en els sectors de telecomunicacions i energia

La Agencia Española de Protección de Datos (AEPD) ha publicado un ‘Plan de inspección de oficio sobre contratación a distancia en operadores de telecomunicaciones y comercializadores de energía’ en el que analiza los tratamientos de datos en estos sectores y su adecuación a la normativa de protección de datos desde la perspectiva de la acreditación de la identidad del contratante y de los servicios contratados. 

Llegir  més

Teletreball i el respecte als drets a la intimitat i la privacitat

Videoconferencia

El passat dimarts 13 va entrar en vigor la nova Llei del Teletreball que regula el treball a distancia. La norma  vol donar forma jurídica a les relacions laborals en el marc del teletreball, una realitat que cada dia s’imposa més. I no sols per la pandèmia, accelerador de la transformació digital com cap altre, sinó perquè ambdues parts –treballador i empresa– hi han trobat avantatges que en molts casos superen a les desavantatges.

I, com és natural, situacions jurídiques que coneixíem del treball presencial, continuen estan presents a la nova normativa. Així com parlàvem fa poc de la desconnexió digital (arran d’una multa de l’AEPD), ara cal parlar una altre vegada dels drets del treballador –sobretot intimitat i privacitat– i també de la potestat discrecional que té l’empresari, tot complint la normativa, en l’àmbit del teletreball.

En el context del teletreball tot és més complex per diferents raons: per la novetat (vull dir, inexperiència), l’ús intensiu de la tecnologia, la falta de mitjans i de cultura de teletreball, el respecte als drets dels uns i dels altres, la supervisió de l’empresari i altres aspectes que tots hem patit aquests darrers mesos (com, per exemple, fer una videoconferència des del saló de casa amb els nens corrent amunt i avall).

El teletreball ha arribat per quedar-se. I la normativa, també. El futur es planteja amb soluciones mixtes –presencial i a distancia, en proporcions variables segons situacions– i la normativa ha de ser prou flexible per proporcionar possibilitats abans que retallar-ne. I si volem ser competitius, entre tots hem de fer-ho possible.

I en aquest context, la Llei faculta a les empreses (article 22) a “adoptar les mesures que estimin més oportunes de vigilància i control per verificar el compliment per la persona treballadora de les seves obligacions i deures laborals, incloent-hi la utilització de mitjans telemàtics”. I en l’article 17, Dret a la intimitat i a la protecció de dades,  diu “La utilització dels mitjans telemàtics i el control de la prestació laboral mitjançant dispositius automàtics garantirà adequadament el dret a la intimitat i a la protecció de dades”.

Exposades les condicions, ara és necessari aterrar les qüestions jurídiques plantejades. Per això haurem de respondre a múltiples preguntes:

  • Quins programes i dispositius pot fer servir l’empresari per controlar els treballadors?
  • L’empresa ha de proporcionar els mitjans informàtics i de comunicacions al treballador?
  • Com es fa efectiu el dret a la desconnexió digital (a través del Registre de jornada?)?
  • Pot l’empresari obligar al treballador a instal·lar determinats programes en el seu portàtil?
  • I a fer servir la seva connexió wifi? I el mòbil?

La Llei imposa a l’empresari l’obligació d’informar als treballadors dels protocols d’ús dels dispositius electrònics i les vies per les quals las tasques poden ser monitoritzades. I tot això amb dos límits: la intimitat i la protecció de dades del treballador, tot observant els principis de “idoneïtat, necessitat i proporcionalitat”.

Com podem veure, ens queda un llar camí per endavant. I l’hem de recórrer ràpid i bé. No hi ha una altre.

Ciberdelinqüència i Protecció de Dades

L’augment imparable de la ciberdelinqüència es un fet al nostre país i a tot arreu. Segons un Informe de Cibercriminalitat del Ministeri de l’Interior de 2019, els ciberdelictes ja representen el 10%  de les infraccions penals conegudes. I els fraus a Internet són el segon delicte més comú per darrere dels furts.

I aquest fet no ha fet més que empitjorar en temps de pandèmia. El teletreball a corre cuita, sense mitjans i sense preparació per part de les empreses i treballadors ha sigut un camp abonat per tota mena de fraus, estafes i, el que més ens importa ara i aquí, els ciberatacs a les empreses.

Check Point, proveïdor especialitzat en Ciberseguretat a nivell mundial, en el seu Informe “Cyber Attack Trends: 2020 Mid-Year Report”, mostra com els cibercriminals s’han aprofitat del Covid-19 per llençar campanyes contra les empreses de tot el món i tots els sectors, incloent-hi governs, infraestructures crítiques, institucions sanitàries, proveïdors de servei, usuaris finals i altres. Les dades assenyalen que les empreses espanyoles han patit més de 450 ciberatacs setmanals de mitjana. I les xifres no paren d’augmentar. Per part nostre, apuntar que aquest any, per primera vegada, alguns clients han patit atacs en el núvol (ransomware, encriptació de dades amb petició de rescat).

I tot això, que és necessari conèixer, que té a veure amb la protecció de dades? Doncs té molt a veure en dos vessants: d’una part, per l’obligació que té el responsable del tractament de preservar adequadament les dades personals que l’hi són encomanades. I per l’altre, la possibilitat que té l’empresa d’aprofitar la adequació al Reglament per fer extensiu a tots els intangibles de l’empresa les mesures implementades.

En efecte, d’acord amb el Reglament General de Protecció de Dades (RGPD), la primera mesura que ha d’impulsar el responsable és un Anàlisi de Risc que permeti valorar els riscos que s’assumeixen al tractar dades personals. A partir d’aquesta valoració, el responsable ve obligat a implementar, de forma discrecional (partint de la responsabilitat proactiva), mesures tècniques i organitzatives per tal de garantir la seguretat de les dades.

I la nostra recomanació és estendre l’Anàlisi de Risc a la resta d’actius intangibles de l’empresa (know-how, projectes, patents, marques, plans de màrqueting, clients, etc.) i, un cop feta la valoració global, ampliar i reforçar les mesures de seguretat que, a més de garantir el compliment de la normativa en matèria de protecció de dades, preservi tot el nostre patrimoni empresarial intangible i, sobretot, que preservi la nostra reputació.

Imatge Pixabay

Màrqueting de permís i Protecció de Dades

El “màrqueting de permís” és un terme encunyat per Seth Godin ja fa anys en el seu llibre “Permission Marketing”, en el que exposa aquest concepte que va revolucionar la manera en que els professionals del màrqueting enfocaven aquest mitjà. La pregunta és, si fa vint anys que va exposar la seva teoria en força èxit, perquè costa tant entendre el concepte des del punt de vista de la Protecció de Dades si tots dos estan força alineats.

L’article 4.11 del RGPD (Reglament General de Protecció de Dades) defineix el “consentiment de l’interessat” com “ tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual l’interessat accepta, ja sigui mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que el concerneixen”. Això no vol dir, és clar, que sigui fàcil aconseguir el permís dels teus clients potencials. Però si volem tenir èxit en el llarg termini, cal considerar-ho com una inversió que donarà els fruits al llarg del temps.

I aquesta definició coincideix fil per randa amb el concepte de Godin. De fet el subtítol del llibre és Turning Strangers into Friends, and Friends into Customers, o el que és el mateix, “Convertint Desconeguts en Amics, i Amics en Clients”. De fet, el mateix Godin acaba la frase convertint els Clients en Venedors”.

Per una d’aquelles coincidències còsmiques, el llibre es va publicar el 1.999, el mateix any que a Espanya es promulgava la LOPD (Llei Orgànica de Protecció de Dades). Si en aquell moment haguéssim començat amb el màrqueting de permís, complint amb la normativa de Protecció de dades, ara tindríem unes sòlides relacions establertes sobre la base de la confiança. Però sempre hi ha un moment per començar i podria ser ara.

Perquè el màrqueting de permís és Anticipat (l’usuari espera rebre el teu missatge), Personal (els missatges estan directament relacionats amb la persona i Rellevant (el missatge té interès per el receptor). I això coincideix cent per cent amb la normativa de protecció de dades.

El revers de la moneda és el màrqueting d’interrupció que no respecta a l’usuari perquè no demana el seu permís, és invasiu i genera rebuig i desconfiança. Fem les coses ben fetes perquè com deia fa molts anys un eslògan institucional “la feina ben feta, no té fronteres; la feina mal feta, no té futur”.

Imatge Pixabay

A part dels texts legals a la web, que més haig de fer?

És una consulta freqüent. Ja em vam parlar en un post, allà per el mes de maig, sobre els texts legals de la web. El que interessa explicar avui és que per tenir una web legal es necessari que l’empresa com a tal compleixi amb el Reglament General de Protecció de Dades (RGPD). No en hi ha prou amb que els texts legals tinguin aparença de legalitat, necessitem fer més coses.

A Internet és freqüent trobar tota mena de texts legals. A banda dels correctes (en denominació ii contingut), podem veure texts amb noms inventats (Termes i condicions d’ús de Privacitat), text copiats (“afusellats”, amb el perill que suposa fer servir els texts d’una altre empresa), texts incomplets i una llarga casuística de la que ens ocuparem un altre dia.

Avui vull cridar l’atenció a les empreses que fan servir texts sense haver-se adequat al Reglament. Comencem per dir que els texts legals que apareixen a la web són la part pública de l’adequació. Però per disposar d’aquests texts, l’empresa té que, prèviament i entre altres, haver fet un Anàlisis de Riscos, tenir un Registre d’Activitats de Tractament, definir una Estructura tècnica i organitzativa, haver establert les Mesures de seguretat corresponents, signar els necessaris Acords de confidencialitat amb els empleats i el Contractes d’encarregat de tractament amb empreses terceres que tracten dades per compte nostra, generar els Protocols de informació i comunicació (clàusules de tractament, Internet, Drets de l’usuari, …) y produir els Informes reglamentaris.

Només quan l’empresa està adequada al Reglament es pot generar la Política de Privacitat i els textos necessaris per els formularis que recullen les dades personals del usuaris. Naturalment, hi haurem d’afegir altres texts que depenen d’altres normatives, segons el cas, com són l’Avís legal, la Política de Cookies (amb el banner corresponent) i les Condicions de Contractació (si tenim una botiga virtual).

Copiar els texts d’un altre web (o pràctiques similars) perquè no tenim l’empresa adequada és un frau que està perseguit per les autoritats. I és força fàcil detectar-ho i, per tant, sancionar-ho.

La Protecció de dades no és complexa però s’ha de fer bé. En els supòsits més senzills, el propi usuari la pot implementar seguint les indicacions de l’Agència Espanyola de Protecció de Dades (AEPD) a través del programa FACILITA. Per la resta, recomanem buscar l’ajuda d’un professional.

Recordem que implantar la Protecció de Dades té un cost cert i moltes avantatges com evitar costos reputacionals i sancions i generar confiança entre empleats, clients, proveïdors, entre altres. No tenir un programa de Protecció de Dades, en canvi, pot tenir un cost incalculable.

Imatge Pixabay

Privacy Shield: què has de saber si fas màrqueting digital?

Ja ens vam referir en un post anterior (‘Efecte Brussel·les’: cop de puny de la UE sobre la taula) a la decisió del Tribunal de Justícia de la Unió Europea (TJUE) que invalidava l’acord conegut com “Privacy Shield”  que garantia que les empreses americanes adherides al mateix, més de 5.000, aplicaven els mateixos estàndards de protecció de dades que les empreses europees regides per el RGPD. Aquesta decisió permetia, entre altres coses, que les transferències de dades entre països adequats i els Estats Units es poguessin realitzar com si d’un país europeu adequat es tractés.

La raó, segons diu el Tribunal, és que la normativa interna americana relativa a l’accés i utilització de dades personals per les autoritats no ofereix les garanties suficients ja que els programes de vigilància no es limiten a lo estrictament necessari, vulnerant el principi de proporcionalitat.

 I aquesta decisió comporta, naturalment, conseqüències en diferents ordres de valor i per diferents sectors. El que ens ocupa aquí és el sector del màrqueting perquè moltes empreses del sector utilitzen plataformes d’enviament massiu, per exemple MailChimp, que estan ubicades en els Estats Units. Com sigui que el Privacy Shield s’anul·lat sense període de transició ni moratòria alguna, tots els fluxos s’han quedat sense suport legal i, en rigor, s’haurien de suspendre (des de el passat 16 de juliol, data de la sentència).

En el moment d’escriure aquestes línies no es veuen alternatives de compliment plenament satisfactòries. L’única solució, ara mateix, és moure les dades personals a plataformes ubicades en territori europeu (si cal, canviant de proveïdor). Som conscients de les dificultats operatives de fer això en la majoria dels casos, sobretot si suposa canvi de proveïdor.

Les demés solucions, com per exemple recavar el consentiment explícit dels usuaris o subscriure amb l’importador noves o millorades clàusules contractuals tipus, no són fàcils d’implementar i, hores d’ara, no està clar que compleixin la legalitat. S’ha d’estudiar cas per cas.

Us recomanem insistentment que demaneu consell professional si us trobeu en la circumstància de tenir que tractar dades personals que s’allotgen en servidors als Estats Units. No us la jugueu!

Imatge Pixabay

Revisió Texts legals web