Autor: TecnoLOPD

En aquesta era tan tecnològica en què tots els usuaris estem activament connectats és possible que s’ocasionin situacions nefastes com la suplantació d’identitat en línia. De fet, segons les dades registrades per l’Oficina de Seguretat de l’Internauta (OSI), les suplantacions d’identitat per Internet a Espanya van augmentar, el 2015, fins a un 178%, respecte a l’exercici anterior.

El més important és tenir clar com actuar davant d’aquest tipus de fraus, que s’executen vulnerant la intimitat i la pròpia imatge dels ciutadans. La suplantació d’identitat en línia es pot produir de diverses formes. Algunes són constitutives de delicte i altres no, però sempre s’estan infringint les bases de la LOPD.

Registrar un perfil fals en xarxes socials o en qualsevol altre servei en línia, en el qual es detalli nom o imatge d’un tercer és una vulneració clara de la Llei de Protecció de Dades. Però si en aquest perfil no s’estan fent servir dades relatives a la informació personal, no serà tingut en compte com a delicte.

D’altra banda, en el cas que s’incloguin dades personals, com el correu electrònic, número de telèfon, adreça, etc. estaríem davant d’un cas constitutiu de delicte. A més, si la persona usurpant fa servir la identitat d’un tercer per accedir a nombrosos serveis, estaríem davant greus casos d’usurpació d’identitat en línia. Segons l’article 18 de la Constitució espanyola, les penes de presó per aquests subjectes podrien arribar als tres anys.
Com prevenir la suplantació d’identitat en línia

La prevenció de la suplantació d’identitat per Internet és clau per evitar disgustos grans. Per a això és important tenir en compte els consells que ofereixen organismes com l’AEPD o l’OSI.

Contrasenyes online: les contrasenyes han de ser complicades, incloent-hi nombres, signes, majúscules i minúscules. A més, és convenient canviar-les cada cert període de temps.
Xarxes Wifi públiques: si es fa servir alguna connexió Wifi gratuïta, és important evitar enviar dades rellevants, perquè és possible que tota aquesta informació estigui sent controlada.
E-mails desconeguts: el banc mai demanarà claus i contrasenyes a través de correus electrònics. Per tant, en cas de rebre e-mails demanant informació personal, és important evitar enviar-la.
Contactes en Xarxes Socials: hi ha perfils en Xarxes Socials que resulten fraudulents i que només pretenen obtenir dades personals dels usuaris. Per tant, és important protegir les Xarxes Socials amb elevades mesures de seguretat i evitar afegir a contactes desconeguts.
Política de privacitat: abans d’omplir formularis d’inscripció a determinats serveis digitals és fonamental llegir bé la política de privacitat. Aquesta és l’única manera d’entendre què es farà amb les dades lliurades.
Passarel·les de pagament: les dades de la targeta de crèdit són especialment sensibles. Per tant, abans d’abonar qualsevol servei en línia cal assegurar-se que es tracta d’una passarel·la de pagament segura. A la barra d’adreces deu aparèixer un cadenat.

Actuar davant de la usurpació d’identitat

En el cas que ja s’hagi produït el frau i la suplantació d’identitat en línia és important actuar de forma ràpida. Si estem davant la creació d’un perfil fals en qualsevol xarxa social o pàgina web, caldrà denunciar el fet davant del propi servei. Cada empresa compta amb uns temps de resposta concrets.

Si no se soluciona satisfactòriament l’assumpte amb aquesta empresa, es pot recórrer a l’Agència Espanyola de Protecció de Dades, que està capacitada per actuar en aquests casos. A més, l’AEPD podrà interposar una multa econòmica si així ho considera oportú.

En el cas que la suplantació d’identitat comporti delicte és primordial acudir immediatament a les Forces i Cossos de Seguretat de l’Estat. Guardar qualsevol prova, com captures de pantalla, missatges, etc., és molt important perquè es pugui actuar de forma òptima.

Per fi el passat 12 juliol 2016 Europa i Estats Units van arribar a un acord sobre la transferència de dades entre empreses digitals de tots dos països, que posaria fi al bloqueig econòmic que ja durava alguns mesos. De fet, moltes empreses van haver de paralitzar les seves activitats amb USA causa d’aquesta situació. Privacy Shield és el substitut legal de l’antic Safe Harbour.

El Tribunal de Justícia de la Unió Europea va derogar l’anterior acord, conegut com Safe Harbour, en entendre que el nivell de protecció de les dades dels ciutadans europeus no era prou elevat. Des d’aquest moment i fins al passat dia 12 de juliol s’ha estat treballant en l’adequació d’un nou acord, que aconseguís garantir les transferències de dades internacionals i s’acostés al nou acord europeu de protecció de dades de caràcter personal. D’aquesta manera es liquida el buit legal que tenia paralitzada a l’economia digital entre els dos països.

A manera de resum, el que fa Privacy Shield és garantir la ciberseguretat internacional, aportant molta més transparència en la gestió de les dades, així com diverses obligacions noves per part dels agents que intervenen en aquestes transferències internacionals. A més, el ciutadà europeu tindrà en el seu haver-hi més garanties en aquest sentit.
Les claus de Privacy Shield

Repassar l’acord de forma exhaustiva ens obligaria a allargar aquest article massa. Per aquest motiu, parlarem de les claus més importants i les novetats que ofereix Privacy Shield en matèria de ciberseguretat. És molt important tenir clar que qualsevol empresa pot acollir-se de forma voluntària al nou acord, però respectar-és totalment obligatori. És a dir, tot aquell que treballi amb dades de ciutadans europeus haurà d’assumir els punts de l’acord, hagi signat i subscrit el mateix o no.

 Més obligacions per a les empreses

Cada empresa, participi o no en l’acord, se sotmetrà a revisions periòdiques per part del Departament de Comerç dels Estats Units. Això es fa per tal de garantir que s’està respectant Privacy Shield en tots els seus punts. El no compliment de la norma pot desembocar en sancions severes.

Transparència per part dels EUA

El govern nord-americà ja no podrà accedir i vigilar de forma indiscriminada les dades dels ciutadans europeus. En aquest sentit, el departament de seguretat nacional americà tindrà moltes més traves per realitzar aquestes accions i, a més, se sotmetrà també a una supervisió.

 Drets del ciutadà protegits

Una cosa nou i molt important és que Privacy Shield permetrà a qualsevol ciutadà de la Unió Europea tenir accés a opcions de resolució d’incidències, si considera que les seves dades no estan sent utilitzats de manera correcta i segura. Cada queixa es podrà interposar de diverses formes: amb la mateixa empresa o mitjançant l’Agència Espanyola de Protecció de Dades (en el cas d’Espanya). En el cas que el conflicte no obtingui resolució per aquestes vies es podrà recórrer a un judici d’arbitratge dins de la UE.

Tant el sector sanitari públic com el privat estan obligats a garantir el compliment de la Llei Orgànica de Protecció de Dades de Caràcter Personal (LOPD). Les dades que es manegen en aquests sectors d’activitat han d’estar supeditats a una protecció de nivell alt, ja que es tracta d’informació rellevant que afecta de forma personal als pacients.

Segons un informe emès fa uns mesos per l’Agència Espanyola de Protecció de Dades, les infraccions en l’àmbit sanitari s’han incrementat de forma extrema. Aquest informe analitza els resultats de tots els sectors durant l’any 2015, en comparació de l’exercici anterior. I el que es desvetlla és que, en la sanitat, s’han incrementat les infraccions en més d’un 230 per cent. Si l’any 2014 hi va haver quatre sancions per infraccions, l’any 2015 aquesta xifra ha pujat fins a deu casos.

Malgrat tot això, no es tracta del sector que més incompliments de la LOPD alberga, ja que les telecomunicacions guanyen la batalla de forma històrica. També cal destacar que aquests altres sectors en què els casos d’infraccions són molt elevats, van reduint el nombre de faltes de forma notable. Segons l’informe de l’AGPD, són els partits polítics els que millor compleixen amb les normes establertes en la Llei Orgànica de Protecció de Dades, ja que no s’ha obert cap procediment sancionador durant el passat any.

Conseqüències d’infringir la LOPD en sanitat

A més de que el sector sanitari hi ha un ampli increment de procediments infractors, també han augmentat les advertències que emet l’Agència Espanyola de Protecció de Dades per advertir davant de qualsevol tipus d’infracció o violació de la LOPD. Així mateix, també s’han vist incrementades les consultes davant l’Agència per conèixer millor alguns secrets de la Llei.

Les conseqüències més greus que comporta el no respecte de la LOPD per part del sector sanitari, o qualsevol altre, és la possibilitat d’haver de fer front a sancions bastant elevades. En tractar-se de dades de protecció alta, les sancions poden ser molt més importants. Per evitar-les és primordial adequar el centre de treball a la Llei.

Gran part de les denúncies interposades davant l’AGPD es basen en l’accés injustificat a les històries clíniques d’alguns pacients. Incomplir les mesures de seguretat pot comportar un procés declaratiu d’infracció greu.

En el sector privat, les sancions també han augmentat de forma significativa, posicionant a la sanitat en la taxa sectorial més elevada d’infraccions davant la LOPD. Durant el 2015 les infraccions en aquest àmbit han augmentat en més d’un 260 per cent, respecte a l’any anterior.

No obstant això, la inscripció de fitxers de protecció de dades en el sector sanitari privat també ha augmentat de forma notable durant el període estudiat. Això, sens dubte, és un important pas de conscienciació. Adequar qualsevol negoci a la LOPD és el primer pas per aconseguir respectar la legalitat vigent en aquesta matèria. Per a això, cal seguir els passos establerts per l’AGPD.

Un dels dubtes més freqüents que sorgeixen davant de la Llei de Protecció de Dades de Caràcter Personal, es basen a esbrinar la necessitat que tenen els blogs a adequar-se a la LOPD. La realitat és que qualsevol entitat que manegi dades personals hauria d’estar adequada a aquesta Llei. Però hi ha alguns matisos a tenir en compte.

Un blog només d’obviar la LOPD en el cas que no manegi dades de caràcter personal. Això passa quan la web en qüestió simplement es dedica a publicar posts o notícies. Però, el més habitual és que els blogs recullin dades a través de formularis de subscripció o de contacte. En aquests casos, és obligatori que es prenguin les mesures de seguretat que estableix la Llei Orgànica de Protecció de Dades.
Per què un blog recull dades personals?

Expliquem tot això de la manera més senzilla per evitar errors. Per a això és important saber què s’entén per «dada personal». Qualsevol informació sobre una persona física identificada o possiblement identificable tindrà el tractament de dada personal. Si tenim en compte que través dels formularis de subscripció de qualsevol blog es recull (generalment) el nom i cognoms, així com el correu electrònic de l’usuari, és fàcil comprendre que s’estan tractant dades de caràcter personal.

Si el blog simplement recull correus electrònics el dubte que es planteja és la següent: ¿és l’e-mail una dada personal? Bé, la resposta és afirmativa si a través dels caràcters, símbols i signes de l’adreça de correu es pot identificar la persona que hi ha darrere de la direcció.

Per exemple: si ens trobem una adreça com «perroverde@yo.com» no s’està identificant a l’usuari que està darrere. Però, suposem que la direcció és «pacolopez@yo.com», en aquest cas les dades personals del propietari del correu electrònic s’identifiquen de forma senzilla.

Com aquest tipus d’adreces de correu electrònic són molt habituals, serà primordial que el blog estigui perfectament adequat a la LOPD. A més, l’ús d’una adreça de correu electrònic sense consentiment del titular de la mateixa estaria vulnerant la normativa establerta per la LOPD. Òbviament, això podria provocar una denúncia davant de l’Agència de Protecció de Dades (AGPD).
Com adequar un blog a la LOPD?

En el cas que el blog estigui en qualsevol dels supòsits detallats anteriorment és important que compleixi els requisits establerts per la LOPD pel que fa a comunicació, tractament i seguretat de les dades de caràcter personal. Si bé és cert que en l’actualitat les coses estan canviant en entrar en vigor el Nou Reglament Europeu de Protecció de Dades, no serà fins al 25 maig 2018 quan s’instauri definitivament. D’això ja hem parlat en altres articles.

Les dades que es recullen a través dels formularis d’un blog s’han d’organitzar òptimament en fitxers. Aquests fitxers s’han de comunicar a l’AGPD, indicant la seva finalitat i qui serà l’encarregat del tractament d’aquests.

A l’hora de demanar dades de caràcter personal és molt important que l’usuari estigui degudament informat de l’ús que se’ls donarà. En aquest sentit, els textos legals adquireixen una importància extrema. A més, cal informar l’usuari dels drets que té sobre les seves dades. I com a responsables del fitxer, els bloguers estan obligats a mantenir els mateixos actualitzats i a esborrar aquells que ja no compleixin la funció per a la qual van ser sol·licitades.

Característiques del nou reglament europeu de protecció de dades

Europa per fi ha aconseguit un nou acord pel que fa a protecció de dades de caràcter personal de tots els ciutadans membres de la unió. Després del tediós procés que va començar en l’any 2012, el passat 27 d’abril es va arribar a l’esperat acord. Aquest nou reglament europeu de protecció de dades va entrar en vigor el 25 de maig passat del 2016 no obstant això, a causa de la complexitat del text i les necessitats d’informar degudament a les empreses i ciutadans, no serà fins al 25 de maig de 2018 d’aplicació obligatòria.

Durant aquests dos anys, les entitats governamentals de cada país hauran d’informar degudament a tots els ciutadans, així com, a les empreses de les noves normes en matèria de protecció de dades que incumbeixen a tots els europeus per igual.

Importants novetats del reglament europeu de protecció de dades

Una de les novetats més importants i característiques d’aquest nou reglament europeu de protecció de dades és el reconeixement de dos nous drets. Si fins a la data, qualsevol persona tenia el dret de cancel·lació, rectificació o oposició. A partir de l’entrada en vigor d’aquest document, també es reconeix el «dret a l’oblit» i el dret a la portabilitat de les dades.

Segons les autoritats en matèria de protecció de dades, aquest reglament compte amb un enfocament preventiu molt més que sancionador. Una cosa que no passava amb l’anterior llei orgànica.

L’accés a les dades personals de propis es facilitarà en gran manera. De forma que qualsevol ciutadà europeu podrà comptar amb molta més informació sobre el tractament de les seves dades.

D’altra banda, qualsevol empresa que gestioni dades personals haurà d’informar el més aviat possible a les autoritats nacionals dels piratejos de les seves bases de dades. Amb això es podrà garantir la presa de mesures eficaces als usuaris, paràgraf evitar qualsevol contratemps sobre la seva intimitat.

Tota la norma compresa en el reglament europeu de protecció de dades serà aplicable a tota la unió europea. Però, a més, qualsevol empresa estrangera que operi dins de la unió ens podem deduir l’obligació d’acollir-a aquest reglament.

També s’estableix la finestreta única. És a dir, els empresaris només hauran de dirigir-se a un supervisor europeu.

Les empreses poden reduir despeses en aquesta matèria, ja que s’eviten moltíssims passos burocràtics, com l’eliminació de les notificacions per part de l’empresa o qualsevol pime. Tampoc estaran obligades a inscriure fitxers seus. A la mateixa vegada, les pimes no estaran obligades comptar amb la figura del responsable de protecció de dades, en el cas que la seva activitat comercial no se centrin en el tractament de dades personals. Per acabar, aquestes petites empreses no estaran obligades a efectuar l’avaluació a no ser que hi hagi un risc clar i concís.

Directiva europea de protecció de dades

A més de l’aprovació del nou reglament Europeu de Protecció de Dades, aquesta comissió ha aprovat la nova Directiva Europea en el mateix sentit. D’això en parlarem detingudament més endavant, però es tracta d’una norma aplicable als àmbits de la justícia i les forces de seguretat dels Estats membres. D’aquesta manera es podrà tenir una major protecció sobre les dades de qualsevol ciutadà implicat en un procés judicial, sigui com a sospitós, víctima o testimoni. La finalitat serà poder lluitar de manera conjunta contra el crim i el terrorisme en l’àmbit de la Unió.