La normativa de protecció de dades (III)

Protecció de dades-2

Què passa si pugem dades a un núvol?

Depenent del núvol, hi ha alguns inconvenients. Google, per exemple, és una gran potència però no compleix amb la normativa de protecció de dades. De moment, Europa l’està sancionant per aquest motiu, encara que no ha manifestat públicament que estigui prohibit fer-lo servir.

Dropbox sí que no és segur. Servidors com el d’aquest servei d’allotjament estan als Estats Units, on hi ha la “llei del patriota”. Segons aquesta normativa, si el govern ho demana, una entitat o una empresa li ha de deixar veure tots els arxius que té guardats per motius de seguretat del país. En aquest cas, Google no pot garantir que tingui les dades dels usuaris encriptades i que, per tant, aquestes no es visionen. Pel que fa a Dropbox, aquest servei sí que ha estat prohibit expressament per l’Agència Europea de Protecció de Dades.

En el cas de Hotmail, depèn de Microsoft i aquesta empresa sí que compleix amb la normativa de protecció de dades. El correu de Hotmail i One Drive sí que el poden fer servir les entitats amb seguretat. Google Drive, en canvi, es pot fer servir però com que no està garantit que les dades que emmagatzema estiguin encriptades, pot ser que més endavant la Unió Europea aconselli no utilitzar-lo.

Avui dia existeixen molts tipus de núvols a Internet, el que passa és que alternatives gratuïtes i segures no n’hi ha gaires, per no dir que no n’hi ha. Encriptar dades porta feina, es necessiten molts mitjans. Per aquest motiu, hi ha plataformes que cobren pel fet d’encriptar i guardar dades.

L’ús de les xarxes socials

Les xarxes socials d’una entitat han de complir amb la llei de protecció de dades, com també amb la Llei 34/2002, de l’11 de juliol, de serveis de la societat de la informació i de comerç electrònic.

Si una entitat té comptes a diferents xarxes socials, la primera responsable del que s’hi publica és ella mateixa. Si es publiquen imatges on surten membres de l’entitat, i aquests no estan en espais públics, s’ha de verificar que les persones que surten a les imatges han donat el seu consentiment exprés i per escrit per a poder publicar fotografies seves.

L’exemple d’Instagram: La seva política de privacitat diu que tot allò que una persona puja a aquesta xarxa social, en el moment en què ho puja l’usuari perd els drets patrimonials de propietat intel·lectual d’aquella imatge i aquests drets passen a ser d’Instagram. Per tant, si una entitat penja una fotografia, aquesta xarxa social pot fer d’aquesta foto el que vulgui. Per exemple, la pot vendre o en pot treure un rendiment publicitari.

En el cas que una entitat pengés una fotografia, i no tingués el consentiment de les persones que hi surten, hi hauria un problema perquè en pujar la foto a una xarxa social, ja no tindria el dret d’aquella imatge.

El WhatsApp

Aquest programa de missatgeria instantània no es considera un mitjà de comunicació (els correus electrònics, en canvi, sí). Si l’entitat vol fer servir aquest canal, per enviar informacions als seus socis, és important que ho posi a la fitxa d’alta del nou soci. En el document ha d’haver-hi una autorització perquè el nou membre de l’entitat doni permís per utilitzar el WhatsApp com a mitjà de comunicació.

Hi ha diferents estudis que demostren que el tràfic d’imatges i converses que hi ha a WhatsApp s’analitzen constantment per treure perfils socioeconòmics dels usuaris. Sabent això, és a dir, que WhatsApp no és un mitjà segur, l’associació està obligada a informar els seus socis d’aquest fet i a demanar el seu consentiment per utilitzar aquest canal per enviar missatges.

A l’hora d’utilitzar el WhatsApp és important que una entitat, en comptes de grups, creï llistes de difusió. Es tracta d’una forma de protegir els telèfons dels seus socis, ja que els destinataris rebran el missatge com si fos un d’individual, sense veure els altres contactes.

Sancions 

En l’àmbit de la protecció de dades les sancions solen ser d’imports alts. Segons la nova llei, abans de sancionar una entitat, si és la primera vegada que comet un error, primer se l’advertirà. En cas que l’associació es torni a equivocar en el mateix error, se la sancionarà. Existeixen diferents tipus de sancions:

  • Sancions lleus: És motiu de sanció el fet de disposar d’un Registre d’activitats de Tractament que no incorpori tot el que exigeix la llei.
  • Sancions greus: Contractar un tercer a qui se li cedeixin dades i que no compleixi amb les garanties de la llei de protecció de dades. Un altre cas és no disposar del Registre d’activitats de Tractament.
  • Sancions molt greus: Utilitzar dades amb una finalitat incompatible amb la finalitat per a la qual van ser recollides. No informar l’interessat sobre el tractament de les seves dades.

Quines dades ha de demanar una entitat?

Abans de demanar dades personals als socis d’una entitat és important tenir en compte el criteri de minimització de dades. Segons aquest, no s’han de demanar més dades de les que realment es necessiten. Si no calen no es demanen.

Què es pot demanar a la fitxa d’alta del nou soci?

A l’hora de demanar un consentiment es pot aprofitar la fitxa d’alta del nou soci per incloure algunes autoritzacions. Per exemple, l’autorització per a poder fer el tractament habitual de dades o el permís perquè l’entitat pugui enviar butlletins o revistes a la persona interessada.

Pel que fa a les intoleràncies alimentàries, també es pot demanar aquesta informació a la fitxa d’alta del nou soci, encara que principalment es demana als menors d’edat. Pel que fa als informes mèdics, es pot tenir el d’un o dos socis però, si s’han de tenir els de més persones, en aquests casos cal un delegat de protecció de dades.

Els drets d’imatge

L’autorització relativa als drets d’imatge s’ha de demanar amb un document per separat. En aquest cas, s’ha d’especificar per a quines xarxes socials concretes es demana el consentiment. Cal tenir en compte que tothom té dret a escollir on vol que aparegui la seva imatge i que no és el mateix sortir a una pàgina web que a una xarxa social, que té molta més repercussió.

Aquesta autorització, així com d’altres, es pot recollir en paper o pot estar digitalitzada. L’important és que al document aparegui la firma, ja que assegura que la persona dona el seu consentiment.

Un altre element important d’una autorització és la data. En un lloc o altre s’ha d’indicar a partir de quin moment la persona dona el seu permís per evitar futurs problemes legals.

Les dades bancàries

En el cas que l’entitat cobri els rebuts per domiciliació bancària, el soci ha de firmar el mandat SEPA.

Les pàgines web

Tot allò que es puja a la pàgina web d’una entitat és responsabilitat d’aquesta. Què ha de tenir una web de manera imprescindible?

  • Un avís legal
  • Una política de privacitat
  • I una política de cookies

Font: Patrícia Julià de SeInProDat Assessors.

(Imatge: Pixabay)