14gen.
01nov.

Com sol·licitar l’eliminació de fotos o vídeos publicats a internet

La teva imatge, tant una foto com un vídeo en què apareixes, és una dada personal. La difusió d’imatges o vídeos publicats en diferents serveis d’internet sense el consentiment de les persones que hi apareixen, sobretot en xarxes socials, és un tema que es planteja amb freqüència davant l’Agència. La Llei Orgànica de Protecció de Dades reconeix a les persones el dret a que les seves dades personals inadequades o excessives es suprimeixin quan així ho sol·licitin.

L’Agència Espanyola de Protecció de Dades tutelarà el teu dret de cancel·lació si, després d’haver-te dirigit al responsable per un mitjà que permeti acreditar-ho, el responsable del tractament de dades no t’ha respost en el termini establert o si consideres que la resposta no ha estat adequada.

Què has de fer

  • L’exercici del dret de cancel·lació només pot sol·licitar-ho el afectat o, en cas de tractar-se de menors de 14 anys, els seus pares o tutors legals.
  • Sempre que les circumstàncies ho permetin, és recomanable contactar amb qui va pujar el contingut sol·licitant-la seva eliminació. Tant si optes per fer aquest pas com si no ho fas, és imprescindible que et dirigeixis a l’empresa o organisme que està tractant/difonent aquestes dades, en aquest cas a la xarxa social o pàgina web en la qual s’han publicat aquestes imatges o vídeos, acreditant la teva identitat i indicant quins enllaços són els que contenen les dades que vols cancel·lar.
  • L’empresa ha de resoldre sobre la sol·licitud de cancel·lació en el termini màxim de deu dies a comptar de la recepció de la mateixa. Transcorregut aquest termini sense que de forma expressa et responguin a la petició o si consideres que aquesta resposta és insatisfactòria, podeu interposar la corresponent reclamació de tutela davant aquesta Agència, acompanyant la documentació acreditativa d’haver sol·licitat la cancel·lació davant l’entitat de què es tracti. Aquest punt és molt important, ja que si no pots acreditar-nos que has exercit en primer lloc el teu dret de cancel·lació davant qui està tractant/difonent aquestes imatges o vídeos no podrem ajudar-te.

Les xarxes socials més populars, per la seva banda, disposen de mecanismes establerts per comunicar-los vulneracions de la privacitat o continguts inapropiats mitjançant els seus propis formularis. A continuació, detallem alguns dels mètodes que ofereixen:

Facebook. La xarxa social ofereix un servei d’ajuda per avisar de fotos o vídeos que puguin infringir el dret fonamental a la protecció de dades. Facebook ofereix diverses opcions en funció de les circumstàncies de cada cas concret. També permet denunciar una conducta abusiva mitjançant l’enllaç Denunciar, que apareix al costat de la majoria dels continguts publicats a Facebook.

Google. La companyia disposa d’una pàgina des de la qual es pot sol·licitar l’eliminació de contingut de les seves diferents serveis. En el cas del servei de vídeos YouTube, se’t oferiran diferents opcions en cas d’abús o assetjament, vulneracions de la privacitat, denúncia de continguts sexuals, continguts violents o altres problemes. D’altra banda, si consideres que un vídeo penjat a YouTube inclou un contingut inapropiat pots utilitzar la icona amb forma de bandera (Denunciar) per avisar del contingut i que l’empresa ho revisi.

Twitter. La xarxa aglutina en aquesta pàgina diferents formes d’informar sobre diversos incompliments, entre els quals es troben la publicació d’informació privada a Twitter, la usurpació d’identitat, l’assetjament o la publicació de vídeos ofensius.

Instagram. La xarxa social Instagram compta amb una pàgina des de la qual es pot reportar contingut publicat per tercers sense el teu consentiment que inclogui la teva informació personal, així com informar de conductes abusives o de casos d’assetjament.

Finalment, les persones tenen dret a sol·licitar, sota certes condicions, que els enllaços a les seves dades personals no figurin en els resultats d’una recerca a internet realitzada pel seu nom. La sentència del Tribunal de Justícia de la UE va confirmar, com ja venia aplicant l’Agència en les seves resolucions, que les persones tenen dret a limitar la difusió universal i indiscriminada de les seves dades personals en els cercadors generals quan la informació és obsoleta o ja no té rellevància ni interès públic, encara que la publicació original sigui legítima (en el cas de butlletins oficials o informacions emparades per les llibertats d’expressió o d’informació). Podeu obtenir més informació sobre l’exercici de l’anomenat dret a l’oblit i com exercir-lo en aquest enllaç.

 

Pedrosa Busquets & Associats

www.pedrosabusquets.com

01febr.

Per assolir un adequat nivell de ciberseguretat en l’empresa, s’haurà d’atendre no només l’àmbit tècnic de la seguretat, sinó també el jurídic (Pedrosa Busquets & Associats) i l’organitzatiu :
Tècnic: es refereix als sistemes, els dispositius, el programari i qualsevol element, mecanisme o aparell, que permet implementar seguretat.
Jurídic: es refereix al compliment de la legislació en matèria de ciberseguretat, que afecta les empreses, en funció per exemple, de la seva activitat, del sector al qual pertanyen o de les dades que utilitzen en els seus processos de negoci. Principalment podem trobar-nos amb la LOPD, entre d’altres.
Organitzatiu: es refereix al compliment de normatives relatives a seguretat, com a normes ISO, polítiques de seguretat, bones pràctiques, etc .

Hi ha una gran interrelació entre aquests àmbits, especialment, entre l’àmbit jurídic i organitzatiu, ja que són molt similars i es complementen al seu torn es recolzen en l’àmbit tècni.

Podem trobar-nos amb multitud d’eines que ens permeten assolir un adequat nivell de seguretat en les empreses, des del punt de vista tècnic, jurídic i organitzatiu. Independentment de la seva mida o activitat, les eines de ciberseguretat que deuen estar en qualsevol organització són:

Protecció contra codi maliciós malware. És el que comunament es coneix com antivirus. Aquest tipus de solució de seguretat ha d’estar sempre en qualsevol organització, independentment del seu tamany o activitat. A més han d’anar més enllà de sistemes informàtics, servidors o llocs de treball, i recollir tots els aspectes relacionats amb la mobilitat. L’elevat nombre de tipus de malware i la seva constant evolució, el converteixen en una de les amenaces més perilloses i difícils de combatre. En aquesta secció, podem trobar-nos amb algunes de les eines en què ens podem recolzar per això es troben.

Protecció contra enginyeria social i frau. Aquest tipus de solucions, són una de les mesures de protecció bàsiques i fonamentals avui dia. L’enginyeria social, és a dir, l’engany, s’ha convertit en una de les principals eines dels grups criminals a Internet, per aconseguir informació dels usuaris o infectar centenars de sistemes. Encara que en el mercat existeixen eines de seguretat, les tècniques utilitzades són cada vegada més sofisticades i enfocades a grups d’usuaris específics, de manera que, encara que les solucions de seguretat ens poden ajudar a lluitar en part contra aquestes amenaces. El sentit comú és l’eina més important que tenim a la nostra disposició per lluitar contra l’enginyeria social i el frau a Internet. En aquesta secció, podem trobar-nos amb algunes de les eines en què ens podem recolzar per això es troben.

Contingència i continuïtat. Aquestes eines estan destinades a aconseguir per diferents mitjans la supervivència de l’empresa o organització, després d’un incident de seguretat. Dins d’aquest tipus de solucions ens podem trobar amb les còpies de seguretat, fins i tot còpies de seguretat en el núvol, que permeten mantenir fora de perill la informació més important de les organitzacions, sense la qual, no podrien exercir la seva activitat. Altres solucions dins d’aquesta categoria són les eines de recuperació de sistemes, que permeten la restauració de sistemes complets, no només de la informació o la virtualització, entesa com a solució de recuperació i desplegament ràpid d’infraestructures en cas de desastre. En aquesta secció, podem trobar-nos amb algunes de les eines en què ens podem recolzar per això es troben.

Protecció de les comunicacions. Aquest tipus de solucions protegeixen l’empresa d’un conjunt d’amenaces, com els accessos no autoritzats, els atacs de denegació de servei o la intercepció de les comunicacions. Dins d’aquestes eines ens podem trobar amb els tallafocs, tant corporatius com destinats al lloc de treball, les VPN (Virtual Private Networks) o l’electrònica de xarxa amb funcionalitat NAC (Network Access Control). A més, hem de tenir en compte que les amenaces que provenen de les xarxes de comunicacions, no s’originen exclusivament a Internet, sinó que també pot provenir de l’interior de les organitzacions. La protecció de les comunicacions és fonamental quan es disposa de diverses seus o oficines en diferents ubicacions geogràfiques, o quan es realitzen habitualment tràmits a través d’Internet. En aquesta secció, podem trobar-nos amb algunes de les eines en què ens podem recolzar per això es troben.

Aquestes quatre categories, conformen una base fonamental de solucions de seguretat necessàries en qualsevol organització. No hem d’oblidar que les solucions de seguretat no són més que una part del puzle de la seguretat, i que, cal completar les solucions tècniques, amb una adequada formació i educació en ciberseguretat i en l’ús de les TIC.

Joan Pedrosa

CEO- Pedrosa Busquets & Associats

Vic, Osona

28gen.


Ja hi ha sanció. Per primera vegada en la història , dues empreses ( espanyoles ) són sancionades per utilitzar Google Analytics, Google Maps, Youtube, WordPress i Zopim, entre d’altres, instal·lant galetes d’aquests serveis sense complir la Llei de galetes. Les multes són de 3.000 € per a la primera empresa i de 500 € per a la segona. La Resolució és la R/02990/2013.

Introducció: L’any 2002 es va aprovar a Espanya la Llei de cookies. El 2012 es va reformar aquesta norma afegint la necessitat d’informar l’usuari abans que s’instal·lin certes cookies. Aquest mateix any un usuari denunciar a dues empreses per considerar que tractaven les seves dades de manera il·legal. Als mesos, l’AEPD va obrir el procediment sancionador per instal·lació de cookies. El 2014, l’AEPD va resoldre sancionar.

En la resolució, el director de l’Agència Espanyola de Protecció de Dades RESOL:

  1. IMPOSAR a l’entitat XXXX, S.L., per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g) d’aquesta norma, una multa de 3.000 € (tres mil euros), de conformitat amb el que estableixen els articles 39.1.c) i 40 de l’esmentada LSSI.
  2. IMPOSAR a l’entitat YYYY, S.L., per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g ) d’aquesta norma , una multa de 500 € (Cinc-cents euros), de conformitat amb el que estableixen els articles 39.1.c) i 40 de l’esmentada LSSI.
  3. Advertir als sancionats que les sancions imposades hauran de fer efectives [ … ]
L'inici del cas

Les pàgines de comerç electrònic de dues empreses espanyoles usaven diversos serveis per analitzar el trànsit de la web (Google Analytics), mostrar una mica de publicitat (DoubleClick), mostrar vídeos (Youtube), mostrar mapes (Google Maps) i respondre els dubtes dels seus clients a través d’un xat (Zopim), entre d’altres. Perquè aquests serveis funcionin, els llocs web necessiten instal·lar algunes galetes en els dispositius (PC, mòbil, tauleta …) dels usuaris. Aquestes galetes recullen dades de navegació i els tracten, dins i fora de d’Europa.

El cas va començar quan un usuari (Don AAA), navegant per les pàgines de les dues esmentades empreses, va veure com s’instal·laven cookies en els seus dispositius per recollir , enviar i tractar les seves dades. L’usuari realitzar la navegació amb Firefox des del PC i Opera des del mòbil.

20 setembre 2012-El preocupat usuari es va posar en contacte amb l’Agència (AEPD).

En aquest article expliquem l’inici del cas : Sanció per instal·lar galetes de Google Analytics (i altres)

La inspecció de l'AEPD

12 setembre 2012-En l’avís legal d’un dels llocs inspeccionats figurava aquest text:

“Utilitzem cookies per millorar l’experiència de l’usuari i per enviar continguts personalitzats. Les cookies ens permeten oferir-li informació personalitzada o seleccionada per vostè (els seus favorits), li eviten haver de tornar a introduir la contrasenya cada vegada que visita la nostra pàgina i porten un seguiment de la cistella de la compra. A més, ens permeten analitzar millor el trànsit de la pàgina per millorar la nostra oferta. La nostra pàgina web NO funcionarà si desactiva les cookies en el seu navegador.”

12 novembre 2012- L’AEPD va realitzar la primera inspecció de cookies utilitzant Google Chrome i obtenint les proves en forma de captures de pantalla.

12 desembre 2012- Els altres llocs encara no tenien informació sobre les cookies.

23 gener 2013- En l’avís legal de tots els llocs, les empreses ja havien inclòs aquest text:

RESERVA DE COOKIES

XXXX, S.L. es reserva el dret d’utilitzar cookies en la navegació de l’ usuari per les seves websites per facilitar la personalització i comoditat de la navegació. Seguint la política de protecció de dades de l’empresa, XXXX, SL informa que les cookies s’associen a l’usuari anònim i al seu ordinador, i no proporcionen per si el nom i cognoms de l’usuari.

L’usuari té la possibilitat de configurar el seu navegador de manera que se li informi de la recepció de cookies, podent, si així ho desitja, impedir que siguin instal·lades en el seu disc dur. No obstant, per l’accés a la website de XXXX , SL no serà preceptiva la instal·lació de cookies.”

Aquest avís, juntament amb els altres que mostraven els denunciats , reunien aquestes característiques :

  • No definia les cookies.
  • No detalla el tipus de cookies utilitzades.
  • No identifica si les galetes són pròpies o de tercers .
  • Es referia de manera vaga i genèrica a algunes de les seves finalitats.
  • No adverteix sobre els mecanismes de desactivació de cookies.
  • No adverteix de la manera de revocar el consentiment.
  • La infomació es facilitava de forma poc accessible .
  • La informació es facilitava sense prou visibilitat, ja que estava distribuïda en diferents. apartats de diferents documents la denominació (“Condicions d’Ús”, “Política d’Ús” o “Política de Privadesa”) no permetia la seva fàcil localització .

23 gener 2013- L’AEPD va realitzar la segona inspecció de cookies utilitzant Internet Explorer 8 i Google Chrome. Les proves també es van obtenir en forma de captura de pantalla.

22 i 23 de maig de 2013- L’AEPD va realitzar la tercera inspecció de cookies utilitzant Firebug al Firefox, obtenint una llista de les galetes descarregades així com la seva exportació.

Les cookies localitzades són, principalment, dels següents serveis:

  • Google Analytics: L’AEPD copia i enganxa en la resolució un paràgraf del contracte per utilitzar aquest servei de Google en el qual s’obliga al responsable dels llocs web a tenir i acatar “una política de privacitat apropiada” i a complir “amb totes les lleis aplicables i regulacions relacionades amb la recollida d’informació dels Visitants”.
  • WordPress: Els dos plugins que instal·len galetes eren Jetpack, amb funcions similars a les de Google Analytics, i Slimstats, que mostra informació concreta per visitant, com el seu país d’origen o el seu sistema operatiu.
  • Quantcast: Una altra galeta analítica, vinculada també a les de Automattic (WordPress )
  • Seevolution: Aquestes, que estaven en desús, analitzen els hàbits de navegació dels usuaris.
  • Google Maps: Algunes de les galetes personalitzen els anuncis que es mostren en els serveis de Google, altres emmagatzemen certes preferències de l’usuari, i una altra més encara no se sap què, d’aquestes dues coses, fa .
  • Youtube: Una associa la IP de l’usuari amb informació sobre l’ample de banda dels vídeos. Sobre la segona, anomenada YSC, l’AEPD encara no té idea de per a què serveix.
  • DoubleClick: Permet mostrar publicitat personalitzada als usuaris.
  • ZOPIM: Una de les galetes identifica els usuaris i una altra millora el rendiment del lloc.
  • Magento: Cookies adequades per procurar que la botiga virtual funcioni millor.
  • Google: Flash galeta (o local Shared Object), associada al domini s.ytimg.com, de Google però de la qual aquesta empresa no diu res. La finalitat d’aquesta galeta (emmagatzemar les imatges fixes de vídeos de Youtube) es va descobrir gràcies a una un web privada de hackers.
  • Cookie de les empreses sancionades: Força als navegadors a recarregar la pàgina.
El procediment sancionador

15 juliol 2013- S’inicia el procediment sancionador a les dues empreses espanyoles.

5 agost 2013- Les empreses denunciades adverteixen a l’AEPD que ja mostren l’avís adequat per complir amb la normativa de cookies en tots els seus llocs.

9 agost 2013- L’AEPD inicia un període de pràctica de proves, seguit de la recopilació d’informació addicional i altres accions.

6-7 de setembre- El denunciant confirma l’AEPD que les galetes descobertes són les que se li van instal·lar en el seu ordinador personal i en el seu terminal mòbil.

Així mateix , D. A.A.A. fa les següents apreciacions sobre els objectius de la Llei de Cookies

  • L’objectiu és evitar que les empreses a les quals afecta aquesta norma es converteixin en una via més per a la fugida no consentida de dades de navegació, de comportament i, en particular, dades personals.
  • Les entitats han optat per usar certes plataformes a canvi que aquestes terceres empreses puguin extreure dades dels seus usuaris. Les entitats no expliquen l’usuari la destinació de les dades, la finalitat del tractament o si més no, quines dades s’extreuen.
  • Irreparabilitat: Els danys han estat produïts. Part de la base de l’existència de l’article 22.2 LSSI és assegurar que no es produeixin danys irreparables o, almenys, que previnguin.

Octubre 3, 2013- L’AEPD exclou del procediment al denunciant per entendre que no ha demostrat “ser titular d’un dret o interès legítim que pugui resultar afectat per la decisió que s’adopti en l’expedient “.

Per fortuna, l’AEPD va tenir a bé deixar fora del procediment al denunciant, no tenint- com a interessat, perquè no va ser capaç de provar “haver accedit, com afirma, a les esmentades pàgines web des del seu ordinador personal o el seu terminal mòbil”. D. A.A.A. presentar una denúncia en què indicava quins llocs concrets del denunciat l’havien instal·lat aquestes cookies, però l’AEPD va considerar que aquesta persona no va aportar “cap element de prova que permeti justificar la instal·lació en els seus terminals de cookies pròpies o de tercers per part de les empreses imputades arran d’aquests accessos”. Aquests fets tenen com a grata conseqüència que l’AEPD no hagi pogut” verificar l’existència d’un tractament de dades personals o d’altre tipus derivat de la utilització de la informació procedent de les galetes suposadament instal·lades ” i, per tant, no entra a sancionar més enllà del que ja s’ha sancionat.

15 a 27 de novembre de 2013- L’AEPD realitza més proves sobre els llocs web de les entitats.

13 desembre 2013- El director de l’AEPD formula proposta de resolució:

  • Multa de 3.000 € a XXXX , S.L.
  • Multa de 500 € a YYYY , S.L.

8 gener 2014- Les entitats sol·liciten a l’AEPD que només se’ls amonesti, perquè amb les galetes instal·lades no realitzen “tractaments de dades de caràcter personal” o que se’ls imposi la sanció mínima.

les sancions

14 gener 2014- El Directe de l’AEPD resol :

  • PRIMER: [Un assumpte de protecció de dades amb multa de 1.500 €]
  • SEGON: IMPOSAR a l’entitat XXXX, SL, per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g) d’aquesta norma, una multa de 3.000 € (tres mil euros), de conformitat amb el que estableix en els articles 39.1.c) i 40 de l’esmentada LSSI.
  • TERCER: IMPOSAR a l’entitat YYYY, SL, per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g) d’aquesta norma, una multa de 500 € (Cinc-cents euros), de conformitat amb el que estableix els articles 39.1.c) i 40 de l’esmentada LSSI.
  • QUART: NOTIFICAR la present resolució a les entitats XXXX, SL i YYYY, S.L. i al senyor A.A.A.
  • CINQUÈ: Advertir als sancionats que les sancions imposades hauran de fer-
    efectives en el termini [ … ]

El positiu d’aquesta sanció és que podia haver arribat als 30.000 € en tots dos casos . Afortunadament , s’ha quedat únicament en 3.000 €, en el primer cas , i en 500 € , en el segon. L’AEPD podia haver deixat les sancions en 0,01 € cadascuna, perquè no hi ha mínim establert a la LSSI

Fets i fonaments rellevants

FET PROVAT VUITÈ : “La utilització dels esmentats serveis”, aquests són Google Analytics, Youtube, Zopim, TradeDoubler, Magento i WordPres , “origina la descàrrega de diferents tipus de galetes no exemptes del deure d’informació prèvia a l’usuari que accedeix als llocs web de la seva titularitat” .

FET PROVAT DESÈ: Els llocs web dels sancionats “instal·len i utilitzen galetes, tant pròpies com de tercers, no exemptes del deure d’informació prèvia a la seva emmagatzematge en els terminals dels usuaris”.

FONAMENT DE DRET VII: La Llei de cookies busca ” garantir que la utilització de les cookies es produeix respectant la privacitat dels usuaris, de tal manera que els afectats puguin manifestar el seu consentiment o negativa a la utilització d’aquests dispositius tenint prèviament coneixement del tipus de cookies que es pretenen instal·lar i les finalitats perseguides amb això pel prestador de serveis de la informació”.

FONAMENT DE DRET VIII: Ha quedat acreditada “la instal·lació i utilització de cookies en els terminals dels usuaris que accedeixen als llocs web titularitat de les mateixes sense haver-los facilitat, prèviament, informació clara i completa sobre l’ús i finalitats d’aquests dispositius i sense comptar, tampoc, amb un consentiment vàlidament atorgat per no haver obtingut mitjançant una informació prèvia correcta”.

Solució adoptada pels denunciats

Les entitats imputades han optat per utilitzar el sistema d’informació per capes.

Desafortunadament, no ho van fer bé i seguir incomplint. L’AEPD assenyala que el sistema de capes utilitzat per les dues entitats “no conté la informació que es considera necessària per estimar que resulta completa i clara, especialment pel que fa a la tipologia de cookies realment utilitzades, finalitat de les mateixes i identitat dels que instal·len i utilitzen les cookies , el que invalidaria el consentiment que pugui ser prestat pels usuaris al “Acceptar” la “Política de cookies” o seguir navegant pels llocs web”.

El sistema d’informació per capes implica informar mínimament amb un avís emergent, que inclou un enllaç a l’avís legal on es troba la resta de la infomació.

La primera capa d’incloure la següent informació mínima:

  • Notes sobre l’ús de cookies no exceptuades que s’instal·len en navegar pels llocs web o en utilitzar el servei sol·licitat.
  • Identificació de les finalitats de les cookies que s’instal·len, amb informació sobre si es tracta de cookies pròpies o de tercers.
  • Advertència, si és el cas, que, si es realitza una determinada acció, s’entendrà que l’usuari accepta l’ús de les cookies.
  • Un enllaç a la segona capa informativa en què s’indica una informació més detallada .

A la segona capa s’hauria d’incloure la següent informació:

  • Definició i funció de les galetes.
  • Tipus de cookies que utilitza la pàgina web i la seva finalitat.
  • Forma de desactivar o eliminar les galetes descrites i forma de revocació del consentiment ja prestat.
  • Identificació dels que utilitzen les galetes, inclosos els tercers amb el que l’editor hagi contractat la prestació d’un servei que suposi l’ús de cookies .
Sistemes anti-cookies

A Com complir la Llei de galetes assenyalo alguns sistemes.

Nosaltres, al web de Abanlex, vam començar usant ( el 5 d’abril de 2012) la solució JPECRGA, creada per Wolf Programari per poder instal·lar les galetes de Google Analytics complint completament la Llei de Cookies .

JPECRGA és programari lliure. La solució que Wolf distribueix ara no permet la modificació lliure. Així que, tenint nosaltres l’original i podent distribuir gratuïtament, aquí la deixem, sota GNU – GPL v3, perquè cadascú faci amb ella el que la llicència li permeti.

Actualment no ens cal bloquejar cookies. Tot i això, perquè volem seguir informant, fem servir el plugin Cookie Law, juntament amb la solució WP DoNotTrack en mode “normal”.

Part de la base de l’existència de l’article 22.2 LSSI és permetre que sigui l’usuari el que decideixi qui accedeix al seu navegador i de quina manera ho pot fer . El consentiment , condició perquè es puguin instal · lar les galetes podria demanar d’infinitat de formes : el desplaçament , a la seva sol.licitud de l’usuari , de la pàgina per mitjà de scroll , la instal · lació de cookies retardada , de manera que permeti sortir del lloc sense elles , la pulsació de qualsevol botó de la web; l’acceptació d’una casella habilitada a aquest efecte … Per a cada proposta de compliment vàlid , hi ha una solució tècnica possible .

S'ha d'obtenir el consentiment previ

Sí, l’AEPD considera que és obligatori, però que la seva falta d’obtenció no és sancionable.

Considero que l’AEPD interpreta malament la Llei La Llei exigeix que la informació sobre galetes sigui:

  1. Clara: La informació s’ha de poder comprèn fàcilment.
  2. Completa: S’ha d’oferir informació sobre la finalitat concreta de les galetes.
  3. Prèvia: La informació s’ha de facilitar abans de la instal·lació de les cookies.

Si interpretem, com fa l’AEPD, que el caràcter previ al consentiment no és un requisit essencial de la informació, perquè el consentiment en si no ho és, arribem a l’absurd de considerar:

  • Sancionable la informació prèvia, completa, però confusa.
  • No sancionable la informació clara, completa, però lliurada als 3 dies.

Resulta palmari que, segons l’article 38.4.g de la LSSI, és una infracció lleu “L’incompliment de les obligacions d’informació o d’establiment d’un procediment de rebuig del tractament de dades, establertes en l’apartat 2 de l’article 22, quan no constitueixi una infracció greu .”

La informació que no és prèvia a la instal·lació no és una informació vàlida perquè incompleix el requisit més fonamental que se li exigeix: que sigui prèvia. El fet que hi hagi o no consentiment és irrellevant, però el fet que la informació no sigui prèvia si és un incompliment de les obligacions d’informació i, per tant, sancionable.

Recordem que “en l’àmbit administratiu sancionador regeixen els principis de legalitat i tipicitat recollits en els articles 127 i 129 de la Llei 30/1999, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú, que obliguen a circumscriure al sentit literal del precepte ia la tipificació contemplada respecte del mateix, sense que en cap cas no es pot efectuar una interpretació en sentit ampli “. El que no és acceptable és que l’AEPD s’inventi un article 38.4.g de la LSSI diferent del que ara està en vigor. Diu l’AEPD que “no pot sancionar una conducta que no està contemplada en el tipus sancionador fixat per l’article 38.4.g ) de la LSSI, ja que aquest precepte fa referència a l’establiment d’un procediment de rebuig del tractament de dades”, però ¡ també fa referència a l’obligació d’informació establerta en l’apartat 2 de l’article 22 !

L’acte de copiar una frase de l’avís legal (” instal cookies”, per exemple) en la portada d’una web podria haver estat una via per complir el contingut de l’article antic 22.2 LSSI, que només demanava informar. Afortunadament, ara l’actual article 22.2 LSSI permet instal·lar galetes a condició que s’hagi obtingut consentiment, després que se li hagi facilitat informació clara i completa sobre la finalitat de les cookies. La instal·lació de tot tipus de cookies a l’usuari no hauria de ser automàtica, pel simple fet que aquest hagi accedit al lloc web.

Canviar les paraules ” a condició ” i ” després” , recollides en la Llei, per un “prestador podrà instal·lar i permetre a altres instal·lar el que vulguin però després d’informar amb un pop – up que el seu avís legal conté més informació“, em sembla inadequat i perillós. Aquesta interpretació transformaria de manera perjudicial la modificació de la llei en una mera addició de ” i ara el prestador informarà per mitjà d’un pop – up” , la qual cosa poc té a veure amb la condició d’obtenció del consentiment previ informat.

El Ministeri de Justícia demostra, al seu web www.mjusticia.gob.es, que és possible complir el nou article per mitjà de l’obtenció d’una acceptació tàcita realitzant la instal · lació de cookies després que l’usuari premi qualsevol botó i després d’haver rebut la deguda informació.

Naturalment , toca aprofitar-se d’ aquesta interpretació de l’AEPD , que desnaturalitza completament la Llei de Cookies i dóna via lliure a que els nostres clients puguin instal · lar cookies directament , informant després i sense obtenir el seu consentiment informat. Serà un acte il · legal , però si l’AEPD considera que no és sancionable , el risc es converteix en àmpliament assumible .

Cookies exemptes del deure d'informació

Determinades galetes estan exemptes del deure d’informar i obtenir el consentiment. És a dir, es poden instal·lar sense necessitat de banners, pop- ups i finestres de major agressivitat.

Les cookies exemptes són les següents:

  • Les que només permeten la comunicació entre l’equip de l’usuari i la xarxa.
  • Les necessàries per a la prestació d’un servei de la societat de la informació expressament sol·licitat per l’usuari.

De les galetes que instal·laven les empreses sancionades, dues podien instal·lar sense necessitat d’informar i sense haver d’obtenir el consentiment sobre el seu ús: “frontend” i “External_no_cache”, que resulten estrictament necessàries per al funcionament del carret de la compra i el manteniment actualitzat dels preus dels productes a la venda, respectivament” .

Llei de Cookies & Protecció de Dades

La Llei de galetes és diferent de la Llei de Protecció de Dades. S’han d’aplicar de la forma següent:

  • Cookie que no s’usa per tractar dades personals: Només cal complir la Llei de Cookies.
  • Cookie que sí s’usa per tractar dades personals: Cal complir la Llei de Protecció de Dades i, a més, la Llei de galetes.

Un detall d’especial importància és que no és possible que l’AEPD substitueixi la multa per una amonestació , aplicant l’article 45.6 de la LOPD , pel fet que el règim sancionador que opera per les infraccions de la LSSI és el previst a la LSSI , no en la LOPD .

Ús de la propietat privada

La propietat privada dels individueos pateix amb la instal·lació de cookies, perquè tan propi pot ser un terreny com un bit.

L’ús no consentit de clústers en els terminals, per emmagatzemar arxius no essencials sense el consentiment de l’ usuari, quan aquest confia que les empreses espanyoles compleixin la Llei i li demanin consentiment previ, suposa un aprofitament il·lícit de la propietat privada digital. Ni és un assumpte de LOPD ni de LSSI … però també és cert que la norma que restringeix la instal·lació de certes cookies té el seu origen en la protecció dels béns electrònics del destinatari dels serveis. A escala reduïda, la implicació d’aquest bloqueig d’unitats d’emmagatzematge per a fins comercials del denunciat no té implicacions greus, però en ser part d’un ús massiu no consentit es converteix, de per si, en la causa d’un efecte nociu per a la navegació segura, sense intrusions de tercers i sense arxius o galetes d’espionatge de comportaments (o spyware).

Article escrit per Pablo Fernández Burgueño ( @ pablofb ) , advocat i soci de Abanlex .

23febr.
El passat dimecres vam tenir l’oportunitat de presentar el nostre projecte a més de cinquanta empreses al Macronetworking celebrat a les instal·lacions del VIT a Vic

La nostra valoració és positiva, ja que aquest format de trobades facilita la difusió de la nostra empresa.

També donar les gràcies als organitzadors ia totes aquelles empreses a les quals vam tenir l’oportunitat de conèixer.
05set.

05/09/11 – Amonestacions a un registrador de Palma per una filtració de dades pers

L’Agència Espanyola de Protecció de Dades (AEPD) ha dictat una resolució instant a un registrador de la propietat de Palma a evitar filtracions de dades personals, mitjançant l’emissió de notes informatives sobre béns immobles a través d’Internet.

Llegir mes……………...

Notícia completa: www.diariodemallorca.es

30ag.

30/08/2011 Fins a 3.000 euros de multa per oblidar posar els e-mails en còpia oculta.

L’Agència Espanyola de Protecció de Dades ha sancionat a nombroses empreses per revelar els correus dels destinataris en les seves ‘mailings’.

Una distracció tan clàssica i aparentment innocent com oblidar-se de posar en còpia oculta les adreces de correu electrònic pot acabar resultant molt més costós del que s’esperava. Nombroses empreses espanyoles ja han hagut d’enfrontar a una multa d’entre 600 i 3.000 euros (encara que legalment podria arribar als 60.000 euros) per revelar dades privades dels seus clients o de persones que els havien facilitat el seu e-mail amb finalitats informatives.

A la immobiliària Sánchez Romero, per exemple, felicitar el Nadal per e-mail a tots els seus contactes li va costar 3.000 euros, segons la resolució dictada el febrer passat per l’Agència Espanyola de Protecció de Dades (AEPD). El correu es va enviar a gairebé 4.000 persones i totes les seves adreces eren visibles per a la resta de destinataris. Un d’ells va denunciar el cas a l’AEPD i aquesta la va donar la raó perquè s’havia vulnerat el “deure de secret” que preveu l’article 10 de la Llei Orgànica de Protecció de Dades. llegir més…….