Legislació sobre seguretat, protecció de dades i Codi Penal

D’una manera intuïtiva, tots coneixem l’existència d’un conjunt de normes jurídiques que regulen les conductes constitutives de delicte, i també les sancions previstes en aquestes situacions (algunes poden ser fins i tot privatives de llibertat). El recull legislatiu aplicable en aquest tipus de matèria s’anomena Codi Penal. Cada país disposa de les seves pròpies normes i, per tant, és possible que variïn d’un país a un altre. És molt important conèixer l’essència de la normativa que afecta l’ús de les tecnologies, ja que, amb independència de la nostra voluntat, condiciona l’ús de les tecnologies, tant des del punt de vista del treballador tècnic, com del de l’usuari d’un ordinador d’una llar qualsevol.

El delicte informàtic no apareix explícitament definit en l’actual Codi Penal (1995), ni en les reformes posteriors (Llei 15/2003 i Llei 5/2010) que se n’han fet i, per tant, no es pot parlar de delicte informàtic pròpiament dit, sinó de delictes fets amb l’ajut de les noves tecnologies, en els quals l’ordinador s’usa com a mitjà d’execució del delicte (per exemple, l’enviament d’un correu electrònic amb amenaces) o com a objectiu d’aquesta activitat (per exemple, una intrusió en un sistema informàtic).

La legislació del nostre país encara presenta buits pel que fa als mal anomenats delictes informàtics, de manera que tan sols oferirem un seguit de directrius bàsiques, més relacionades amb el sentit comú que amb la normativa complexa que es va generant entorn de l’aplicació de les noves tecnologies.

El vessant tecnològic o científic dels estudis d’informàtica sovint deixa de banda el vessant social de l’aplicació dels avenços en aquestes disciplines. Consegüentment, els usuaris i tècnics d’un sistema informàtic poden ser molt competents en la seva feina, però és probable que tinguin molts dubtes a l’hora d’abordar situacions com les següents:

• Si el meu cap em demana que li mostri el contingut de la bústia de correu personal d’un treballador, tinc l’obligació de fer-ho?
• Puc entrar a la bústia de correu electrònic d’un amic?
• Uns intrusos han modificat el lloc web de l’empresa en què treballo. Aquest fet és denunciable? A qui ho he de denunciar?
• El sistema informàtic de la feina emmagatzema dades de caràcter personal (com, per exemple, el nom, els cognoms, l’adreça i el DNI dels treballadors). Cal protegir aquestes dades d’alguna manera?
• Puc penjar a Internet un lloc web amb les fotografies i logotips del meu grup de música preferit?
• Puc descarregar lliurement qualsevol fitxer de música de la xarxa?

Segurament, cap dels exemples descrits no us suposa cap dificultat tècnica. No obstant això, cal que tingueu molt present que, si bé no totes les accions vistes són constitutives de delicte, totes elles poden tenir conseqüències. Així, doncs, haureu de ser conscients que no hi ha una línia d’actuació única i que cal ser molt prudent a l’hora d’enfrontar-nos amb aquest tipus de situacions, ja que no tot allò que és tècnicament possible és legal, i, sobretot, cal que tingueu en compte que el desconeixement de les normes no exonera de responsabilitat (penal o no) el treballador informàtic.

El nostre Codi Penal és especialment sever amb la protecció dels drets fonamentals i les llibertats públiques, recollits en el títol I de la Constitució. Aquests drets i llibertats són inherents a la condició de persona i, per aquest motiu, gaudeixen d’una protecció tan especial.

Un dels articles de la Constitució espanyola (1978) relacionats amb la pràctica informàtica (tant des del punt de vista tècnic com del simple usuari) és l’article 18, que reconeix el dret a la intimitat. Han de ser objecte de protecció no sols l’àmbit íntim de l’individu, sinó també l’esfera familiar i domiciliària.

Una part molt important dels delictes relacionats amb la informàtica entra dins de la tipificació de delictes contra la intimitat. Sovint, els autors d’aquestes conductes no són conscients de la importància dels béns protegits per la llei i no s’adonen de les conseqüències de les seves accions fins que ja és massa tard.

Els delictes contra la intimitat són recollits en l’article 197.1 de l’actual Codi Penal. Com a conseqüència de l’assimilació de la intercepció del correu electrònic amb la violació de la correspondència, aquest article disposa que les conductes següents són constitutives de delicte:

• L’apoderament de papers, cartes, missatges de correu electrònic o qualsevol altre document o efectes personals.
• La intercepció de les telecomunicacions.
• La utilització d’artificis tècnics d’escolta, transmissió, gravació o reproducció de so o de qualsevol altre senyal de comunicació.

Per ser constitutives de delicte, aquestes activitats s’han de produir sense el consentiment de la persona afectada (ni autorització judicial motivada o justificada), i amb la intenció de descobrir-ne els secrets o vulnerar-ne la intimitat.

Per tant, obrir la bústia d’un correu electrònic que no sigui el nostre i llegir els missatges que s’hi emmagatzemen podria esdevenir una conducta constitutiva de delicte. Cal anar amb molt de compte amb aquest tipus d’accions (tècnicament solen ser molt senzilles d’efectuar) i, com a norma general, mai no s’ha de llegir cap correu electrònic que no vagi adreçat a nosaltres (ni tan sols si el nostre cap, dins de l’àmbit laboral, ens ho demana).

En el cas de la intercepció del correu electrònic en l’àmbit empresarial, se sol argumentar que els treballadors no poden fer ús dels mitjans de l’empresa per a qüestions personals. Algunes sentències s’han pronunciat a favor de l’empresa perquè s’ entén que, efectivament, els mitjans pertanyen a l’empresa i que, per tant, no és un lloc adient per enviar i rebre missatges de caràcter privat. No obstant això, davant del dubte, cal que sempre tingueu present que els correus electrònics dels treballadors de l’empresa gaudeixen de la mateixa protecció legal, pel que fa a la intimitat, que els correus electrònics personals.

Una manera útil per fer saber als usuaris d’una organització quins són els usos correctes dels mitjans de l’empresa i les seves limitacions consisteix en l’ús de contractes en els qual s’especifica, per exemple, quines obligacions i responsabilitats té un usuari d’un compte de correu electrònic. Igualment, una bona estratègia consisteix a emprar noms de comptes de correu corporatiu en lloc de noms personals (per exemple: nom_empresa@proveidor.cat, en lloc de el_meu_nom@proveidor.cat). Si com a tècnics se’ns requereix que demostrem l’ús indegut d’algun mitjà electrònic de l’organització, sempre serà preferible usar controls tan poc lesius com sigui possible, com ara el monitoratge o el seguiment del nombre de bytes transmesos o rebuts per un usuari concret (per exemple, si un usuari descarrega fitxers de vídeo o cançons, el nombre de bytes rebuts serà, probablement, molt més gran que el que seria si fes un ús adequat del correu).

Els articles 197 a 200 del Codi Penal tipifiquen com a conductes delictives l’accés, la utilització, la modificació, la revelació, la difusió o la cessió de dades reservades de caràcter personal que es trobin emmagatzemades en fitxers en suports informàtics, electrònics o telemàtics, sempre que aquestes conductes les facin persones no autoritzades Aquestes conductes s’anomenen, genèricament, abusos informàtics sobre dades personals. A més de la responsabilitat penal en què poden derivar aquests tipus d’accions, també cal considerar que les dades personals s’ han d’emmagatzemar i declarar segons una normativa especificada en el Reglament General de Protecció de Dades (RGPD).

El Codi Penal considera un agreujant que l’objecte del delicte siguin dades de caràcter personal que revelin ideologia, religió, creences, salut, origen racial o vida sexual. Altres circumstàncies agreujants són que la víctima sigui un menor d’edat o incapacitat o que la persona que comet el delicte sigui responsable dels fitxers que hi estan involucrats. Mereix una consideració especial l’article 199.2, en el qual es castiga la conducta del professional que, incomplint l’obligació de reserva, divulga els secrets d’una altra persona.

El sentit comú ja ens avisa que aquestes accions poden tenir algun tipus de repercussió. El que probablement desconeixem és que se’n puguin derivar responsabilitats penals. Així, com a tècnics i usuaris de sistemes informàtics, és molt probable que tinguem accés a dades personals que tenim l’obligació de mantenir el secret i que no podem cedir a ningú.

A la modificació de l’any 2010 es va incloure en el Codi Penal el delicte d’intrusió, és a dir, l’accés no autoritzat a un sistema informàtic (siguin dades o programes). Cal dir que si bé fins a aquella data la intrusió no era constitutiva de delicte, aquests tipus d’accions se solen trobar vinculades a altres conductes que sí que ho eren (i ho continuen essent), com, per exemple, els danys en un sistema informàtic o els mitjans que s’hagin utilitzat per dur a terme l’accés no autoritzat.

Arran d’aquesta modificació del Codi Penal (apartat 3 de l’article 197), la intrusió directa, encara que no provoqui danys, i encara que no “trenqui” o descobreixi cap contrasenya d’accés, pot ser considerada una conducta constitutiva de delicte.

És interessant observar que, tot i que, com ja s’ha dit, el “delicte informàtic” no es troba definit en el Codi Penal, la intrusió en un sistema informàtic pot ser considerada com a tal, a causa de la seva especificitat i a la desvinculació de la resta de conductes il·lícites contingudes en el Codi Penal.

En l’article 248.2 del Codi Penal es castiga la conducta de qui, emprant qualsevol mètode informàtic, aconsegueixi la transferència no consentida de qualsevol bé, amb ànim de lucre i perjudici sobre tercer. També apareixen en el Codi Penal les conductes preparatòries per a la comissió de delictes de frau informàtic, les quals poden ser, a tall d’exemple, la fabricació, la facilitació o simplement la mera possessió de programes específics destinats a la comissió del delicte de frau informàtic.

Per exemple, el descaminament (pharming) és una de les tècniques que es poden englobar dins d’aquesta tipificació. Aquesta tècnica permet que un atacant pugui redirigir un nom de domini a una màquina diferent. Així, un usuari pot creure que accedeix al seu compte bancari via Internet, quan en realitat el que fa és proporcionar les seves claus d’accés a l’atacant. El descaminament està molt relacionat amb un altre delicte, la pesca electrònica (phishing). En aquest darrer cas, però, no estarem parlant d’una tècnica informàtica, sinó d’una estratègia d’enginyeria social que usa la suplantació de correus electrònics o llocs web per obtenir informació confidencial de l’usuari. És a dir, a diferència del desencaminament, molt més tècnic, en la pesca l’usuari creu que introdueix les dades en el portal d’una entitat bancària, però en realitat ho fa en un portal diferent, amb una adreça diferent de la real. En el cas del desencaminament, en canvi, l’usuari introdueix l’adreça real del portal d’Internet, però es produeix una redirecció a una màquina diferent.

Tot i que la duplicació o clonació de les bandes magnètiques d’una targeta de crèdit podria semblar una operació similar a les anteriors, en realitat pot comportar conseqüències encara més greus, ja que, segons l’article 387 del Codi Penal, aquesta acció es pot assimilar a un delicte de falsificació de moneda.

Els delictes de danys, juntament amb els delictes contra la intimitat i contra la propietat intel·lectual, són, amb diferència, els més freqüents. Com passa amb els delictes contra la intimitat de les persones, sovint els autors d’aquestes accions no són conscients de les conseqüències que poden comportar els seus actes.

Arran de la modificació del Codi Penal de l’any 2010, aquest delicte també inclou els atacs de denegació de servei (DoS). Així, doncs, l’obstaculització o interrupció del funcionament d’un sistema informàtic o fer inaccessibles dades informàtiques de manera no autoritzada són conductes recollides en el Codi Penal.

Tal com ens podem imaginar, aquest delicte pot tenir repercussions econòmiques molt importants en les organitzacions afectades i, en conseqüència, les sancions per aquestes accions poden comportar grans sumes de diners.

Alguns danys produïts en un sistema informàtic es poden valorar. És essencial, en aquest cas, adjuntar-ne una valoració en el moment d’efectuar la denúncia davant d’un cos policial. La valoració dels danys és un procés complex de dur a terme i pot abastar diferents aspectes: cost de restauració d’un lloc web, pèrdues en conceptes de publicitat no emesa (lucre cessant), o per serveis que no s’han pogut prestar… A tall d’exemple, l’alteració d’una pàgina web (defacement) per una persona no autoritzada és un cas de delicte de danys. Tot i que en alguns casos pugui semblar una acció innocent (i fins i tot divertida, des del punt de vista dels pirates), pot comportar pèrdues de milers d’euros.

El delicte contra la propietat intel·lectual és una de les qüestions que més interès suscita en la comunitat informàtica, ja que està vinculat amb una de les activitats més polèmiques entorn d’Internet: la descàrrega de fitxers protegits per les lleis de propietat intel·lectual i l’ús de programaris d’intercanvis de fitxers en xarxes d’igual a igual (anomenades també P2P o peer-to-peer).

Aquestes condicions s’apliquen independentment del suport en què s’hagi enregistrat l’obra: textos, programaris, vídeos, sons, gràfics o qualsevol altre fitxer relacionat. És a dir, els delictes relatius a la venda, la distribució o la fabricació de còpies no autoritzades de programari són delictes contra la propietat intel·lectual. No obstant això, segons la interpretació literal del Codi Penal, cal que aquestes accions s’hagin efectuat amb ànim de lucre i en perjudici de tercers. Així, doncs, per poder aplicar aquest article resulta essencial que es pugui demostrar l’existència d’aquest lucre. Malgrat que això no pugui ser fàcilment demostrable, recordem que, de qualsevol manera, tota obra (literària, científica o artística) està protegida per uns drets de propietat intel·lectual que cal respectar.

Tot i els esforços d’alguns països de la Unió Europea per evitar la descàrrega i la compartició (mitjançant programaris d’igual a igual) de continguts protegits, encara no s’ha arribat a una solució de consens. No obstant això, cal aclarir que l’ús i la instal·lació de programaris d’igual a igual en els nostres ordinadors no es considera (des del punt de vista jurídic) cap pràctica il·legal. De la mateixa manera que no es prohibeix que tinguem ganivets a la cuina pel fet que el seu mal ús pot ser delictiu, tampoc no se sanciona el fet d’instal·lar i usar programaris d’intercanvi de fitxers (ja que poden tenir un ús perfectament lícit). Recordem, però, que la simple tinença de qualsevol mitjà (per exemple, un programa) dissenyat per anul·lar la protecció de programes sí que és susceptible de ser sancionada.

Pel que fa a la creació de programari, també cal fer algunes consideracions. Segons el tipus de contracte al qual es trobi subjecte el treballador, el programari que desenvolupi per a una organització determinada pertany a l’empresa i, en conseqüència, si el treballador abandona l’organització, no es pot emportar el programari que ha creat en el seu antic lloc de treball. Com en el cas de la utilització del correu electrònic, seria recomanable que el contracte de treball especifiqués aquesta qüestió.

És un límit al dret de reproducció d’una obra que posseeixen els titulars dels drets de propietat intel·lectual de l’esmentada obra, és a dir, les persones que les han accedit legalment. Aquest límit no permet que la còpia obtinguda es pugui emprar de manera col·lectiva o bé amb ànim de lucre.

Per pal·liar el perjudici econòmic que origina la còpia privada, s’ha creat una compensació (anomenat cànon per còpia privada o cànon digital) que han d’assumir els fabricants i els importadors d’equips i suports de reproducció d’obres.

L’ús d’una llicència no adequada (per exemple, una llicència personal en lloc d’una llicència de xarxa) pot comportar problemes diversos i no s’hi val a argumentar el desconeixement com a eximent.

Amb la finalitat d’emprar adequadament les llicències caldrà estudiar de quins tipus n’hi ha per poder-les adquirir segons les nostres necessitats i el pressupost de què disposem. Vegem-ne algunes:

• OEM (Original Equipment Manufacturer). Tipus de llicència, normalment referida a sistemes operatius (encara que també es pot aplicar al maquinari), que supedita la venda del programa com a part integrant d’un equip informàtic nou (programari preinstal·lat). Així, doncs, aquest programari no es pot vendre aïlladament, sinó juntament amb el maquinari que l’incorpora. Solen no disposar de l’embalatge de la versió normalitzada del producte. No es poden vendre ni cedir a tercers separats del maquinari.
• Retail. Consisteix en les versions de venda normalitzades d’un programari, amb els embalatges que se solen veure a les botigues d’informàtica. A diferència de les versions OEM, es poden vendre independentment del maquinari on s’integren i poden tenir algun extra que no apareix en les versions OEM.
• Llicències per volum. Llicències destinades a empreses i institucions (com instituts i universitats). Són similars a les llicències OEM, però no estan vinculades a equips nous. Poden servir, per exemple, per instal·lar un programari d’ús comú en una xarxa d’ordinadors d’un institut.

Segons la Free Software Foundation (fundació pel programari lliure), el programari lliure ha de complir les quatre condicions següents:

• Llibertat perquè els usuaris emprin els programes amb qualsevol propòsit.
• Llibertat per estudiar el funcionament del programa i adaptar-lo a les necessitats de cada usuari (aquesta condició requereix accedir al codi font del programari).
• Llibertat per redistribuir còpies del programa.
• Llibertat per efectuar millores dels programes i fer-les públiques (redistribuir les còpies del programari modificat) en benefici de tota la comunitat (tal com passa amb la segona condició, això només és possible si es té accés al codi font del programari).

En resum, el programari lliure es caracteritza perquè pot ser usat, estudiat i modificat sense restriccions de cap mena, es pot redistribuir en una versió modificada (o sense modificar) sense cap restricció, o amb millores que permetin als futurs usuaris gaudir de les mateixes llibertats a què hem fet referència.

Notem que, si bé el tema de les llicències de programari no està recollida al Codi Penal, és una qüestió de l’àmbit informàtic relacionada amb els drets d’autor, i per això la tractem.

El fet que un programari sigui lliure no vol pas dir que sigui gratuït. Per exemple, el programari gratuït pot tenir certes restriccions que fan que no s’adapti a la definició de programari lliure (un programari pot ser gratuït, però podria no incloure el codi font, tal com estableix la definició de programari lliure). D’altra banda, sovint trobem a la venda CD de distribucions de Linux (programari lliure). En aquest cas, però, el comprador pot copiar el CD i distribuir-lo.

Pel que fa al programari lliure, les llicències més habituals són les següents:

• Llicències GPL (llicència pública general de GNU). En aquest tipus de llicències, el creador conserva els drets d’autor (copyright) i permet la redistribució (comercial o no) i la modificació, però amb la condició que totes les versions modificades del programari es continuïn mantenint sota els termes més restrictius de la llicència GNU GPL. Això implica que si un programa té parts amb llicència no GPL, el programa final ha de tenir forçosament llicència GPL.

• Llicències BSD (Berkeley Software Distribution). BSD és un sistema operatiu derivat de l’Unix creat per la Universitat de Califòrnia, Berkeley. Precisament, aquestes llicències s’anomenen BSD perquè s’utilitzen en molts programaris distribuïts amb el sistema operatiu BSD. Són llicències sense restriccions, compatibles amb les llicències GNU GPL, que proporcionen a l’usuari una llibertat il·limitada, fins i tot per redistribuir el programari com a no lliure. No obstant això, el creador manté els drets d’autor (copyright) pel reconeixement de l’autoria en treballs derivats.
• Llicències MPL (Mozilla Public License) i derivades. Aquest tipus de llicència rep el nom del projecte de programari lliure Mozilla, a bastament conegut per tota la comunitat d’internautes. En aquest cas, i a diferència de les llicències GPL, no cal que el producte final també sigui llicenciat en MPL (encara que el codi font modificat o copiat amb MPL ha de mantenir aquest tipus de llicència). D’aquesta manera, es promou efectivament la col·laboració entre autors i la generació de programari lliure, ja que les llicències GPL presentaven el problema d’afavorir una certa expansió endogàmica a causa de l’obligació que el producte final fos també llicenciat en GPL. Aquestes llicències són més restrictives que les BSD i, en definitiva, es poden considerar a mig camí entre aquestes i les GPL.
• Llicències copyleft. En aquest cas, el propietari de la llicència gaudeix del dret de còpia, modificació i redistribució. A més, també pot desenvolupar una versió d’aquest programari (amb llicència subjecte a copyright) i vendre’l o cedir-lo amb qualsevol de les llicències estudiades, sense que això afecti les llicències copyleft ja atorgades. L’autor també pot retirar una llicència copyleft, però sense efectes retroactius, ja que l’autor no té dret a retirar el permís d’una llicència que encara es troba vigent. Es pot aplicar no només a programes, sinó a tota mena de creacions artístiques (música, vídeo…).

Segons l’article 278.1 del Codi Penal, fa revelació de secrets d’empresa qui, amb la finalitat de descobrir un secret d’empresa, intercepti qualsevol tipus de telecomunicació o utilitzi artificis tècnic d’escolta, transmissió, gravació o enregistrament de so, imatge o qualsevol altre senyal de comunicació. Notem la semblança que hi ha entre aquest forma de delicte i els delictes contra la intimitat.

A més dels delictes que s’han descrit, és evident que n’hi ha molts més, coneguts intuïtivament per tots nosaltres, es poden dur a terme amb el concurs de la tecnologia. En aquests casos, la tecnologia esdevé únicament el mitjà de comissió del delicte, el qual ja es troba perfectament tipificat dins dels delictes ocorreguts en el món “real”. Ens referim, entre d’altres, a aquests:

• Amenaces i coaccions (per mitjà de xats o correus electrònics).
• Falsedat documental: alteracions i simulacions de documents públics o privats.
• Tinença i difusió de pornografia infantil a Internet.
• Defraudació dels interessos econòmics dels prestadors de serveis: facilitació a tercers de l’accés a serveis interactius o audiovisuals (com, per exemple, els canals de televisió de pagament), sense el permís dels prestadors d’aquests serveis.

Els investigadors dels delictes informàtics (policials o d’empreses especialitzades) disposen, a grans trets, de dues fonts d’informació essencials:

• Els fitxers o registres locals. Els sistemes operatius i els programaris que s’executen en els ordinadors enregistren algunes de les activitats que fan en els anomenats fitxers de registre. Per exemple, la intrusió d’un pirata en un sistema informàtic deixa, si l’atacant no és gaire hàbil, empremtes en diversos fitxers del sistema. La informació que contenen aquests fitxers (per exemple, l’adreça IP de l’atacant) és la primera baula que els investigadors analitzen per arribar a establir l’origen de l’atac.
• Els registres dels proveïdors de servei d’Internet (PSI). La persona que ha comès el delicte (o qualsevol altre fet susceptible de ser investigat) haurà utilitzat la connexió oferta per un cert proveïdor de serveis d’Internet. Les dades associades a aquesta connexió són emmagatzemades pels PSI segons la Llei de conservació de dades relatives a les comunicacions electròniques i a les xarxes públiques de comunicacions (com a màxim 12 mesos, a partir de la data de comunicació de reserva, encara que es pot ampliar o reduir), les quals només poden ser cedides als investigadors per ordre judicial. Així, doncs, un cop que els investigadors han establert la informació bàsica del succés (IP d’origen, franja horària i la data en què s’ha produït l’esdeveniment), caldrà que sol·licitin al jutge una ordre perquè el proveïdor de serveis els lliuri la informació requerida (associada a la IP i a la resta de dades determinades en les etapes inicials de la investigació) per continuar el procés i identificar l’usuari que ha emprat la connexió sospitosa.

Si l’administrador d’un sistema informàtic és víctima de qualsevol d’aquests delictes o descobreix, per exemple, que el sistema que administra és utilitzat com a plataforma de distribució de còpies de programari no autoritzades, ho ha de denunciar immediatament a la comissaria de policia més pròxima, tenint en compte el protocol d’actuació següent:

1. Adjuntar els fitxers de registre (registres locals del sistema) relacionats amb el delicte comès. Aquests fitxers han de reflectir, en cas que hagin quedat registrats, la IP de l’atacant i les accions produïdes en el sistema investigat.
2. En cas que s’hagi produït un delicte de danys, cal adjuntar una valoració dels danys ocasionats.
3. Actuar amb rapidesa (els proveïdors no emmagatzemen indefinidament els fitxers de registre dels seus servidors).
4. En cas que aquesta acció delictiva s’ hagi produït per correu electrònic, cal adjuntar les capçaleres completes del correu rebut.
5. En cas que sigui necessari, cal considerar la possibilitat de duplicar (o clonar) el disc dur del servidor per preservar les proves del delicte i, a continuació, reinstal·lar el sistema per evitar que el delicte es continuï produint. No obstant això, cal anar amb compte amb aquesta consideració. Suposem, per exemple, que l’administrador d’un sistema descobreix que el servidor del qual és responsable allotja pornografia infantil. La duplicació del disc dur (a l’efecte de salvaguardar les proves) i la reinstal·lació posterior de tot el sistema permetrien evitar que el delicte (la difusió de pornografia infantil) es continués produint, però al mateix temps en podria dificultar la investigació.

La Constitució vol protegir d’una manera molt curosa una sèrie de drets inherents a tota persona: els anomenats drets fonamentals. Entre aquests destaca el dret a la intimitat. A més de les conseqüències penals que pot comportar la vulneració d’aquest dret, hi ha altres lleis que protegeixen la privacitat de la persona, també pel que fa a les seves pròpies dades.

La legislació té molta cura de la protecció de les dades perquè contenen informació personal que ha d’ésser protegida adequadament. Això afecta de manera negativa els sistemes informàtics, la gestió de les organitzacions, i fins i tot el dia a dia de les persones. El conjunt de normes intenta trobar un equilibri entre aquests elements, aparentment oposats: un nivell de seguretat de les dades adequat, juntament amb una protecció suficient de la intimitat, i permetre a les empreses operar amb la informació de manera eficient.

La protecció de les dades de caràcter personal ha pres darrerament una gran rellevància. Les persones es mostren cada dia més curoses amb les seves dades i són més conscients de la protecció de què ha de gaudir la seva informació personal.

La situació actual és producte, d’una banda, de la normativa en matèria de protecció de dades i, de l’altra, de l’activitat creixent de l’Agència Espanyola de Protecció de Dades, organisme autònom encarregat d’assegurar el compliment de la legislació vigent (i fruit de la mateixa legislació).

Veurem a continuació com han anat evolucionant les lleis; la primera en aparèixer va ser la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). Aquesta norma tenia per objecte garantir i protegir, en relació amb el tractament de dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i en especial el seu honor, intimitat i privacitat. La LOPD va crear els anomenats drets ARCO:

• Dret d’Accés: Reconeix als ciutadans la potestat de defensar la seva privacitat controlant per si mateixos l’ús que es fa de les seves dades personals.
• Drets de Rectificació : La LOPD també regula els drets de rectificació i cancel·lació: quan les dades personals d’un ciutadà resulten ser incompletes, inexactes, excessives o inadequades aquest pot requerir al responsable del fitxer la seva rectificació o cancel·lació.
• Dret de Cancel·lació: El ciutadà pot exigir al responsable del fitxer la supressió de dades que consideri inadequades o excessives.
• Dret d’Oposició: Consisteix en el dret dels titulars de les dades per dirigir-se al responsable del fitxer perquè deixi de tractar les seves dades sense el seu consentiment per a fins de publicitat o prospecció comercial.

Posteriorment, amb el desenvolupament i popularització d’Internet i l’aparició de comerços online va aparèixer al 2002 la llei de serveis de la societat de la informació i comerç electrònic, coneguda per les seves sigles com LSSI.

Al 2003 apareix la llei de la firma electrònica per regular els certificats digitals i donar validesa jurídica a aquesta firma. Al 2003 també s’aprova el Reglament que desenvolupa la llei de protecció de dades de caràcter personal de 1999. El 2007 s’aprova la llei de conservació de dades a les comunicacions electròniques i a les xarxes públiques de comunicacions.

El 27 d’abril de 2016 s’aprova el el Reglament General de Protecció de dades (RGPD), que no va entrar en vigor fins al Maig del 2018, per donar un marc Europeu. Aquest reglament, entre altres coses, amplia els drets ARCO.

El 5 de desembre de 2018 s’aprova la llei orgànica 3/2018, Protecció de Dades Personals i Garanties dels Drets Digitals (LOPDGD), que adapta l’RGPD a la normativa espanyola. Amb LOPDGD i l’RGPD es deroga l’antiga LOPD.

A continuació teniu un llistat d’aquestes lleis :

• Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD).
• Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i comerç electrònic (LSSICE) o, habitualment (LSSI).
• Llei 59/2003, de 19 de desembre, de firma electrònica.
• Llei Orgànica 15/2003, de 25 de novembre, per la qual es modifica la Llei Orgànica 10/1995, de 23 de novembre, del Codi Penal.
• Reial Decret 1720/2007, de 21 de desembre, pel que s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.
• Llei 25/2007, de 18 d’octubre, de conservació de dades relatives a las comunicacions electròniques i a les xarxes públiques de comunicacions.
• Llei Orgànica 5/2010, de 22 de juny, per la qual es modifica la Llei Orgànica. 10/1995, de 23 de novembre, del Codi Penal.
• Reglament General de Protecció de dades (RGPD) del 27 d’Abril de 2016.
• Llei orgànica 3/2018 Protecció de Dades Personals i Garanties dels Drets Digitals (LOPDGD) del 5 de desembre de 2018.

Aquest reglament és una norma d’àmbit europeu que protegeix les dades personals de tots els residents a la Unió Europea i garanteix el flux de dades entre els països de la Unió Europea. Per tant, els països necessiten integrar aquest reglament a les seves legislacions.

Aquest reglament estableix l’obligació de les organitzacions d’adoptar mesures destinades a garantir la protecció d’aquestes dades que afecten sistemes informàtics, fitxers, suports d’emmagatzematge, demanar el consentiment per usar les dades de caràcter personal i procediments operatius. Aquestes mesures han d’adoptar-les totes les organitzacions que operen amb residents a la Unió Europea, encara que no hi tinguin la seva seu.

En el Capítol 7 d’aquest reglament es crea el Comitè Europeu de protecció de dades per supervisar el Reglament i la seva aplicació als diferents països d’Europa. En el Capítol 11, Disposicions finals, s’estableix com a màxim el 25 de maig del 2020 per fer una primera avaluació i revisió del reglament per tal d’anar-lo actualitzant als nous temps. Posteriorment, aquesta revisió es repetirà cada 4 anys.

L’RGPD és aplicable a qualsevol informació sobre persones físiques identificades o identificables (nom i cognoms, edat, sexe, dades d’identificació fiscal, estat civil, professió, domicili, dades biomètriques…) enregistrada en qualsevol suport físic (inclòs el paper), que en permeti el tractament manual o automatitzat i ús posterior pel sector públic o privat. Traspassat a l’àmbit de les empreses, s’ha d’interpretar que l’RGPD és aplicable a qualsevol organització que manipuli o arxivi fitxers, tant en paper com en suport magnètic, que continguin informació o dades de caràcter personal, tant dels seus treballadors com dels seus clients o proveïdors (persones físiques), la qual cosa obliga les empreses, institucions, professionals i, en general, totes les persones jurídiques o físiques que operin amb fitxers de dades de caràcter personal, al compliment d’una sèrie d’obligacions legals. Cal tenir present, però, que al considerand 18, diu: “El reglament no s’aplica al tractament de dades de caràcter personal dut a terme per una persona física en el curs d’una activitat exclusivament personal o domèstica, és a dir sense cap connexió amb una activitat professional o comercial”.

Per tractament s’entén “qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, supressió o destrucció”.

El parlament Europeu i el Consell de la Unió Europea, a partir del Tractat de funcionament de la Unió Europea, en concret de l’article 16, i d’una proposta de la Comissió Europea, van enviar una proposta del text legislatiu als parlaments nacionals, per posteriorment elaborar dos dictàmens. L’RGPD considera que la protecció del tractament de les dades personals és un dret fonamental, tal i com està a la Carta dels Drets Fonamentals de la Unió Europea a l’article 8, que estableix que qualsevol persona té dret a la protecció de les dades de caràcter personal que l’afecten. Pel que fa al tractament de les dades personals s’han de respectar les llibertats i els drets fonamentals, especialment el dret a la protecció de les dades de caràcter personal, sigui quina sigui la seva nacionalitat o residència.

L’objectiu de l’RGPD és, doncs, garantir i protegir la privacitat i la intimitat de les persones físiques. Tal i com queda clar a l’article 1 del RGPD on s’explica l’objecte d’aquest, engloba tres objectes:

1. Establir les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.
2. Protegir els drets i les llibertats fonamentals de les persones físiques i el seu dret a la protecció de les dades personals.
3. Evitar restriccions a la lliure circulació de les dades personals a la Unió Europea originades per les necessitats de protecció de dades.

L’RGPD canvia alguns articles de la LOPD i afegeix noves obligacions per a les empreses.

Els canvis més importants de l’RGPD respecte la LOPD són:

• El principi de responsabilitat proactiva. El nou Reglament indica que el responsable del tractament ha d’aplicar mesures apropiades per poder demostrar que el tractament és conforme al Reglament, tal i com aparèix a l’article 5. Les organitzacions han d’analitzar quines dades tracten i amb quines finalitats ho fan i han de mirar quins tipus d’operacions de tractament realitzen per tal d’aplicar les mesures que preveu l’RGPD. Aquestes mesures han de ser les adequades per complir amb el Reglament. També han de poder demostrar el compliment del Reglament davant de tercers. Aquest principi exigeix que el responsable del tractament ha de tenir una actitud proactiva, davant de tots els tractaments de dades que realitzi.
• El principi de l’enfocament de risc. El nou Reglament indica que s’ha de tenir en compte el risc per als drets i les llibertats de les persones. Així, algunes de les mesures només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats. Les mesures previstes per l’RGPD s’han d’adaptar a les característiques de les organitzacions. El que pot ser bo per a una organització no necessàriament ho ha de ser per a una altra. No és el mateix una organització que utilitza dades de milions de persones, amb tractaments que contenen informació personal sensible o volums importants de dades sobre cada persona, que una petita empresa amb poques dades i que treballa amb dades no sensibles.

A més, manté (ampliats en alguns casos) els següents principis ja recollits a la LOPD:

• Principi de qualitat de les dades: les dades de caràcter personal només es poden recollir per al seu tractament i sotmetre’s a aquest tractament quan siguin adequades, pertinents i no excessives amb relació a l’àmbit i les finalitats determinades, explícites i legítimes per a les quals s’hagin obtingut. L’RGPD exigeix reduir al mínim necessari tant el tractament de les dades com les persones autoritzades a accedir a aquestes dades.
• Finalitat expressa: les dades de caràcter personal objecte de tractament no poden ser usades per a finalitats que no siguin compatibles amb aquelles per a les quals s’han recollit. Es consideren compatibles, tanmateix, el tractament posterior d’aquestes dades amb finalitats històriques, estadístiques o científiques.
• Necessitat de consentiment de la persona afectada: el tractament de les dades requereix el consentiment de la persona afectada.
• Actualitat de les dades: les dades personals que s’incorporin en un fitxer han de respondre a una situació actual.
• Principi d’exactitud: les dades personals han de ser susceptibles de modificació i de rectificació des del moment en què se’n coneix la modificació.
• Deure d’informació a la persona afectada: les persones interessades a les quals se sol·licitin dades de caràcter personal hauran de ser advertides prèviament de manera expressa, precisa i inequívoca:
  • Que les seves dades seran incloses en un fitxer, de la finalitat de la recollida i dels destinataris de la informació.
  • De l’obligatorietat o voluntarietat de donar aquestes dades.
  • De les conseqüències que porten aparellades l’obtenció de les dades o de la negativa a subministrar-les.
  • De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició (drets ARCO).
  • De la identificació i de l’adreça de la persona encarregada de dur a terme el tractament del fitxer o, si escau, del seu representant, perquè els afectats puguin exercir els seus drets.

A l’RGPD alguns d’aquests drets s’han ampliat:

• El dret de cancel·lació ha passat a denominar-se dret de supressió i té un aspecte molt comentat però adreçat essencialment als navegadors d’internet i xarxes socials: el dret a l’oblit.
• El dret al consentiment: L’RGPD requereix que l’interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid. Igualment, perquè les dades estiguin especialment protegides, és necessari donar el consentiment exprés i per escrit.

També s’han incorporat dos nous drets: limitació del tractament i portabilitat.

• El dret a la limitació del tractament amplia el dret del consentiment; és el dret de l’usuari a posar limitacions als tractaments sobre les seves dades.
• El dret a la portabilitat de les dades inclou, per una banda, que la informació com a resposta al dret d’accés s’ha de proporcionar de manera completa i en format compatible d’ús corrent i, per una altra, que ha de poder-se transmetre a petició de l’interessat en aquest format directament a una altra organització (per exemple, si canviem de proveïdor).

És precís informar a les persones afectades per l’ús de les seves dades dels ítems que es llisten a continuació, per tal que puguin exercir pròpiament els drets anteriors:

• La base jurídica del tractament.
• Interessos legítims que es volen assolir.
• Necessitat de donar un consentiment. Aquest s’ha de donar amb un acte afirmatiu clar, específic, informat i inequívoc. Pot realitzar-se en paper o a través de mitjans electrònics.
• Termini de conservació de les dades. Quan aquest venci, el responsable del tractament n’ha de limitar el tractament a través de mitjans tècnics com impedir-hi l’acces als usuaris, trasllat temporal de les dades afectades a un altre sistema de tractament o retirada temporal d’un lloc d’Internet de les dades afectades.
• Dades de contacte amb el delegat de protecció de dades (si n’hi ha).
• Existència del dret a reclamar a una autoritat de control. Això és important, ja que també existeix, en cas de tractament inadequat o negligent, el dret a obtenir una reparació, i si escau una indemnització per part del perjudicat.
• Existència de decisions automatitzades o l’elaboració de perfils (si n’hi ha). L’interessat té dret a oposar-se a que les dades personals que l’afecten siguin objecte d’un tractament, inclosa l’elaboració de perfils. El responsable del tractament ha de deixar de tractar aquestes dades personals, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de l’interessat, o per a la formulació, l’exercici o la defensa de reclamacions. L’interessat també té dret a no ser objecte de decisions basades exclusivament en un tractament automatitzat.
• Dret a la informació de l’afectat davant canvis en les seves dades: Si hi ha un canvi de les dades s’ha d’informar del canvi a l’afectat, per tal de que les verifiqui i conegui el canvi.
• Si es transmetran les dades a tercers. Cal tenir present que només s’han de fer transferències de dades personals que es tracten o que es tractaran quan es transfereixin a un tercer país o a una organització internacional si, sens perjudici de la resta de disposicions del RGPD, el responsable i l’encarregat del tractament compleixen les condicions adecuades, incloses les relatives a les transferències posteriors de dades personals des del tercer país o organització internacional a un altre tercer país o una altra organització internacional.

La informació proporcionada en tot moment ha de ser clara i fàcilment intel·ligible: No s’ha de posar lletra petita, ni usar paraules ambígües ni frases complicades o difícils d’entendre.

La LOPDGD tracta, a més, dels drets que s’apliquen al cas de menors i de dades de persones difuntes.

La necessitat de proporcionar als usuaris els drets recollits per l’RGPD, deriva en una sèrie d’obligacions per a les empreses i persones responsables i encarregades d’efectuar els tractaments, com són:

• Proporcionar procediments senzills per exercitar els drets.
• Disposar de formularis conformes amb l’RGPD i la LOPDGD per informar als usuaris i perquè aquests exerceixin els seus drets.
• Pseudonimització de les dades i les bases de dades.
• Protecció de dades des del disseny i per defecte (article 25 RGPD); això implica tenir en compte les mesures de seguretat abans de l’inici del tractament i quan aquest s’està duent a terme).
• Tenir un registre de les activitats del tractament.
• Poder demostrar davant l’autoritat que es segueix la llei si s’és sol·licitat per aquesta.
• Notificar les violacions de seguretat.

D’altra banda, no és obligatori registrar a l’autoritat de control els fitxers amb dades personals que té l’organització, com passava amb l’anterior LOPD.

Altres obligacions recollides a l’RGPD són:

• En el Capítol 4 apareix l’obligació de xifrar les dades personals, a més de guardar-les amb pseudònims (pseudonimització) per tal de que sigui més difícil d’identificar de qui són les dades.
• En aquest mateix capítol, a l’article 42, s’assenyala que els organismes es podran certificar de forma voluntària.

L’article 33 de l’RGPD, Notificació d’una violació de la seguretat de les dades personals a l’autoritat de control, diu que el responsable ha de notificar a l’autoritat de control la violació de seguretat, sense dilació indeguda i, si és possible, en un termini màxim de 72 hores i de conformitat amb l’article 55, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

Quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable l’ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill tal i com diu l’article 34, tret que:

• El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
• El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l’alt risc.
• Suposi un esforç desproporcionat. En aquest cas, cal optar per una comunicació pública o una mesura semblant.

La notificació de la fallada a les autoritats dins de les 72 hores següents a partir del moment al qual el responsable n’ha tingut constància pot ser objecte d’interpretacions variades. Normalment, es considera que se’n té constància quan hi ha certesa i coneixement suficient de les circumstàncies. La mera sospita no obliga a notificar ja que, en aquests casos, no és possible conèixer suficientment l’abast del succés.

Ara bé, si sospitem que el problema pot tenir un gran impacte, és recomanable contactar amb l’autoritat de supervisió.

En cas que no sigui possible realitzar la notificació dins el termini de 72 hores, pot fer-se més tard, però cal justificar-hi les causes del retard.

L’RGPD estableix el contingut mínim de la notificació. Aquests contenen elements com:

• La naturalesa de la violació.
• Les categories de dades i d’interessats afectats.
• Les mesures adoptades pel responsable per a solucionar la fallada i, si és el cas, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades.

La informació també es pot proporcionar de forma escalonada, quan no es pugui fer completament al mateix moment de la notificació.

Finalment, el responsable del tractament ha de documentar qualsevol violació de la seguretat de les dades personals, inclosos els fets que hi estan relacionats, els seus efectes i les mesures correctores que s’han adoptat.

L’RGPD introdueix les figures del responsable del tractament de dades, de l’encarregat del tractament i del delegat de protecció de dades.

El capítol IV de l’RGPD tracta del responsable, de l’encarregat del tractament i del delegat de protecció de dades.

Hi pot haver representants dels responsables i/o dels encarregats del tractament quan aquests no estan establerts a la Unió, però entra dins de l’àmbit del Reglament, segons recull l’article 3, apartat 2. En aquests casos, el responsable o l’encarregat del tractament ha de designar per escrit un representant a la Unió.

El responsable del tractament o responsable és la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament. El responsable ho és i ha de poder demostrar (accountability) que les dades personals siguin:

• Adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals es tracten (minimització de dades).
• Conservades de manera que permetin identificar els interessats durant un període no superior al necessari per a les finalitats del tractament de dades personals.
• Exactes. Això implica que, quan sigui precís, s’hauran d’actualitzar. Cal adoptar les mesures raonables perquè es suprimeixin o es rectifiquin les dades personals que siguin inexactes amb les finalitats per a les quals es tracten (“exactitud”);
• Tractades de manera lícita, lleial i transparent en relació amb l’interessat (licitud, lleialtat i transparència).
• Recollides amb finalitats determinades, explícites i legítimes; posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats. D’acord amb l’article 89, el tractament posterior de les dades personals amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considera incompatible amb les finalitats inicials (limitació de la finalitat).
• Tractades de manera que se’n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques o organitzatives adequades (“integritat i confidencialitat”), fent copies de seguretat…

Així, per exemple, el responsable del tractament serà qui haurà de decidir si les dades recollides inicialment amb el consentiment del client continuen essent vàlides per a una altra finalitat o no ho són i s’ha de tornar a demanar el consentiment al client. El responsable del tractament ha de prendre les mesures oportunes per facilitar a l’interessat tota la informació que indiquen els articles 13 (Informació que cal facilitar quan les dades personals s’obtenen de l’interessat) i 14 (Informació que cal facilitar quan les dades personals no s’han obtingut de l’interessat).

El responsable del tractament ha de facilitar a l’interessat l’exercici dels seus drets, en virtut dels articles 15 a 22.

L’article 28 del RGPD tracta de l’encarregat del tractament o encarregat. L’encarregat és la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament. L’encarregat és únic i el nomena el responsable del tractament de les dades. L’encarregat del tractament pot, però, contractar a altres encarregats de tractament de dades amb el consentiment per escrit del responsable del tractament de dades. El tractament efectuat per l’encarregat s’ha de regir per un contracte o per un altre acte jurídic conforme al dret de la Unió o dels estats membres. Aquest contracte ha de vincular l’encarregat respecte del responsable i ha d’establir l’objecte, la durada, la naturalesa i la finalitat del tractament, així com el tipus de dades personals i categories d’interessats i les obligacions i els drets del responsable. Aquest contracte o acte jurídic ha d’estipular, en particular, que l’encarregat:

• Tracta les dades personals únicament seguint instruccions documentades del responsable.
• Garanteix que les persones autoritzades per tractar dades personals s’han compromès a respectar-ne la confidencialitat o estan subjectes a una obligació de confidencialitat de naturalesa estatutària.
• Respecta les condicions establertes als apartats 2 i 4, per recórrer a un altre encarregat del tractament.
• Pren totes les mesures necessàries, de conformitat amb l’article 32.
• Assisteix el responsable sempre que sigui possible, d’acord amb la naturalesa del tractament i mitjançant les mesures tècniques i organitzatives adequades perquè pugui complir amb l’obligació de respondre les sol·licituds que tinguin per exercici dels drets dels interessats.
• Ajuda el responsable a garantir el compliment de les obligacions.
• A elecció del responsable, ha de suprimir o retornar totes les dades personals, una vegada finalitzada la prestació dels serveis de tractament, i suprimir les còpies existents, tret que sigui necessari conservar les dades personals en virtut del dret de la Unió o dels estats membres.
• Ha de posar a disposició del responsable tota la informació necessària per demostrar que compleix les obligacions assenyalades en aquest article 28 de l’RGPD. Així mateix, ha de permetre i contribuir a la realització d’auditories, incloses inspeccions, per part del responsable o d’un altre auditor autoritzat pel responsable.

El Reglament, a l’article 37, introdueix la figura del Delegat de Protecció de Dades (DPD) i especifica quan és necessari nomenar-lo.

El Delegat de Protecció de Dades pot formar part de la plantilla del responsable o l’encarregat o bé actuar en el marc d’un contracte de serveis.

El delegat de protecció de dades és nomenat pel responsable i l’encarregat del tractament i se l’ha de nomenar quan es alguna d’aquestes condicions:

• El tractament l’efectua una autoritat o un organisme públic, tret dels tribunals que actuen en l’exercici de la seva funció judicial.
• Les activitats principals del responsable o de l’encarregat consisteixen en operacions de tractament que requereixen una observació habitual i sistemàtica a gran escala.
• Les activitats principals del responsable o de l’encarregat consisteixen en el tractament a gran escala de categories especials de dades personals i de les dades relatives a condemnes i infraccions.

El delegat de protecció de dades s’ha de designar atenent a les seves qualitats professionals i als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les funcions esmentades a l’article 39, que principalment són:

• Assessorar respecte de l’avaluació d’impacte relativa a la protecció de dades.
• Actuar com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament.
• Cooperar amb l’autoritat de control.
• Informar i assessorar el responsable o l’encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades.
• Supervisar que es compleix l’RGPD i la resta de legislació relativa a la protecció de dades.

Això no vol dir que el DPD hagi de tenir una titulació específica, però, tenint en compte que entre les funcions del DPD s’inclou l’assessorament al responsable o l’encarregat en tot el referent a la normativa sobre protecció de dades, els coneixements jurídics en la matèria són sens dubte necessaris; també cal que compti amb coneixements aliens a l’àmbit estrictament jurídic, com per exemple en matèria de tecnologia aplicada al tractament de dades o en relació amb l’àmbit d’activitat de l’organització en la qual exerceix la seva tasca.

Altres coses a tenir en compte són:

• Un grup empresarial pot nomenar un únic delegat de protecció de dades, sempre que sigui fàcilment accessible des de cada establiment.
• Si el responsable o l’encarregat del tractament és una autoritat o un organisme públic, tret de jutjats i tribunals, es pot tenir un únic delegat de protecció de dades per diversos organismes.
• La posició del DPD a les organitzacions ha de complir els requisits que l’RGPD estableix expressament. Entre aquests requisits hi ha la total autonomia en l’exercici de les seves funcions, la necessitat que es relacioni amb el nivell superior de la direcció o l’obligació que el responsable o l’encarregat li facilitin tots els recursos necessaris per desenvolupar la seva activitat.

Els sistemes informàtics encarregats del tractament i del manteniment de dades gestionen sovint dades de caràcter personal. Quan ens trobem en aquesta situació, hem de complir l’RGPD i la resta de legislació de protecció de dades. Com que el tractament es fa en fitxers de l’empresa, la llei ens diu que hem d’adoptar les mesures necessàries per garantir la seguretat de les dades personals.

El concepte de dada de caràcter personal genera força confusions. Per determinar què és realment, ens hem de fixar en l’RGPD, que el defineix com “qualsevol informació sobre una persona física identificada o identificable, com ara un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona”.

Així, doncs, quan parlem de dada personal ens referim a qualsevol informació relativa a una persona concreta. Les dades personals ens identifiquen com a individus i caracteritzen les nostres activitats en la societat, tant públiques com privades. El fet que diguem que les dades són de caràcter personal no vol dir que només tinguin protecció les vinculades a la vida privada o íntima de la persona, sinó que són dades protegides totes les que ens identifiquen o que en combinar-les permeten la nostra identificació.

Tenen la consideració de dades personals:

• Nom i cognoms, data de naixement.
• Número de telèfon, adreça postal i electrònica.
• Dades biomètriques (empremtes, iris, dades genètiques, imatge, raça, veu…).
• Dades sanitàries (malalties, avortaments, cirurgia estètica…).
• Orientació sexual.
• Ideologia, creences religioses, afiliació sindical, estat civil…
• Dades econòmiques: bancàries, solvència, compres.
• Consums (aigua, gas, electricitat, telèfon…), subscripcions premsa…
• Dades judicials (antecedents penals).

No totes les dades personals són igual d’importants. Algunes s’anomenen sensibles a causa de la seva transcendència per a la nostra intimitat i a la necessitat d’evitar que siguin usades per discriminar-nos. No es tracta de preservar la nostra intimitat, sinó d’evitar perjudicis per l’ús que es pugui fer d’aquestes dades.

Tenen la consideració de dades sensibles les que es refereixen a la nostra raça, opinions polítiques, a les conviccions religioses, a les afiliacions a partits polítics o a sindicats, a la nostra salut o orientació sexual, genètiques, biomètriques.

L’incompliment d’una normativa legal pot comportar sancions. En el cas de l’RGPD, el règim de responsabilitat previst és de caràcter administratiu (menys greu que el penal i que no pot representar sancions privatives de llibertat). L’import de les sancions varia segons els drets personals afectats, volum de dades efectuats, els beneficis obtinguts, el grau d’intencionalitat i qualsevol altra circumstància que l’agència estimi oportuna.

Una diferència amb l’antiga LOPD és que no hi ha tipus de sancions (lleus, greus, molt greus). A l’article 83.2 especifica que les multes aniran en funció de la infracció. Les multes administratives poden arribar a ser d’entre 10 i 20 milions d’euros, o entre el 2 i el 4% del volum de negoci anual global. Per determinar la quantitat de les sancions es mirarà el cas particular tenint en compte:

• La naturalesa, gravetat i la durada de la infracció, estudiant la naturalesa, abast o propósit de la mateixa, així com el nombre d’interesats afectats i el nivell dels danys i perjudicis que hagin sofert.
• La intencionalidat o negligència en la infracció.
• Qualsevol mesura presa pel responsable o encarregat del tractament per solucionar i reduir els danys soferts pels interessats.
• El grau de responsabilitat de l’encarregat del tractament de les dades, segons les mesures aplicades per protegir la informació.
• Totes les infraccions anteriors dels responsables o encarregats del tractament.
• El grau de cooperació amb l’autoritat de control amb la finalitat de solucionar la infracció i mitigar els possibles efectes adversos de la infracció.
• Les categories de les dades de caràcter personal afectades per la infracció.
• La forma amb que l’autoritat de control va tenir coneixement de la infracció, en concret si el responsable o l’encarregat va notificar la infracció i en quina mesura.
• Que el responsable o l’encarregat ja hagin estat sancionats, amb advertència del compliment de les mesures.
• L’adhesió a codis de conducta o a mecanismes de certificació aprovats segons l’articulat del propi RGPD.
• Qualsevol altre factor agravant o atenuant aplicable a les circumstàncies del cas, com als beneficis financers obtinguts o a les pèrdues evitades, directa o indirectament, amb la infracció.

Com a conseqüència de l’expansió de les xarxes d’ordinadors i especialment d’Internet, fenòmens que abans eren habituals dins del món analògic han acabat traspassant les fronteres per esdevenir freqüents en el món virtual (per exemple, el comerç electrònic). No podem esperar que el marc jurídic actual pugui donar resposta a tots els nous reptes provocats per l’ús de les tecnologies de la informació. Per donar resposta a aquests buits legals cal ampliar o redefinir conceptes jurídics. Aquesta regulació no solament ha d’evitar el mal ús de la tecnologia (per exemple, l’enviament de correu brossa o no consentit), sinó que ha de generar un entorn de confiança en el qual es delimitin clarament les responsabilitats i els deures de cadascú, sense el qual no és possible l’establiment de transaccions, com ara el comerç electrònic.

Així, l’objectiu de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i del comerç electrònic (LSSI) és la incorporació de la directiva comunitària sobre el comerç electrònic al marc jurídic espanyol. Aquesta normativa s’ha desenvolupat en diversos àmbits: europeu, estatal i autonòmic.

Segons l’LSSI, el concepte de servei de la societat d’informació és molt ampli i comprèn els àmbits següents:

• Contractació de béns i serveis per via electrònica.
• Subministrament d’informació per via electrònica (per exemple, els diaris digitals).
• Activitats d’intermediació relatives a:
  • La provisió d’accés a la xarxa.
  • La transmissió de dades.
  • La realització de la còpia temporal de les pàgines d’Internet sol·licitades pels usuaris.
  • L’allotjament de dades en els servidors d’informació.
  • Els serveis o aplicacions facilitats per altres.
  • La provisió d’eines de cerca.
  • Els enllaços a altres llocs d’Internet.
• Qualsevol altre servei que es presti a petició individual dels usuaris (descàrrega de fitxers de vídeo o àudio…), sempre que representi una activitat econòmica per al prestador.

No solament per desenvolupar l’esmentat marc de confiança, sinó també per poder perseguir les activitats il·lícites que es puguin desenvolupar a la xarxa, l’LSSI determina quines són les obligacions i responsabilitats dels prestadors de serveis. No oblideu, però, que l’LSSI se situa dins del marc jurídic extrapenal. Per això les sancions que preveu aquesta llei no comporten penes privatives de llibertat. Per exemple, l’enviament de correu brossa o correu no consentit és una activitat sancionada per l’LSSI, però, en canvi, no apareix reflectida en el Codi Penal.

Malgrat tot, les obligacions que tenen els prestadors de serveis, descrites en l’LSSI, possibiliten la persecució dels delictes relacionats amb Internet.

Així, doncs, i sempre mitjançant una resolució judicial motivada, els prestadors de serveis han de col·laborar amb els jutges, i han de posar a la seva disposició les dades que els siguin requerides. Per exemple, si una investigació criminal descobreix un lloc d’Internet que allotja pornografia infantil o programes “pirates”, els proveïdors de serveis hauran de lliurar al jutge encarregat de la investigació els fitxers de registre de l’activitat de l’usuari que ha allotjat el contingut il·lícit en el lloc.

Un altre aspecte destacable de la preservació dels registres és la consideració de la IP com una dada personal (tot i que no identifica directament una persona, sí esdevé un mitjà per identificar-la).

Com podíem esperar, les dades que enregistra el proveïdor de serveis s’han d’emmagatzemar garantint els drets constitucionals i amb les mesures determinades per la llei de protecció de dades. Només pot retenir les dades imprescindibles per identificar l’origen de la connexió i el moment en què s’inicià la prestació del servei. La preservació de les dades no pot atemptar en cap cas contra el secret de les comunicacions.

Els prestadors de serveis de la societat de la informació estan subjectes a responsabilitat civil, penal i administrativa. Per determinar el tipus de responsabilitat que recau sobre ells caldrà diferenciar les situacions següents:

• El prestador és l’autor (creador) directe de la informació, o bé desenvolupa tasques de control sobre els continguts que es transmeten a la xarxa. És el cas, per exemple, del gestor d’una llista de distribució de correu electrònic (mailing list) o del moderador d’un fòrum de discussió. En tots dos casos, el prestador pot tenir coneixement de la informació que s’introdueix a la Xarxa i en pot exercir-ne el control. Per tant, la seva responsabilitat és inqüestionable.
• Quan no hi ha participació activa del prestador amb relació als continguts allotjats, la determinació de la responsabilitat ja no és tan evident i consta de les exempcions següents:
• Si el servei consisteix en la mera transmissió de les dades proveïdes pel destinatari del servei, o en proporcionar l’accés a la xarxa, s’entén que els proveïdors desconeixen els continguts transmesos i no en són responsables, sempre que no es produeixin les situacions següents: que els prestadors no hagin originat la transmissió, que no hagin modificat ni seleccionat les dades o que no hagin seleccionat el destinatari.
• Els prestadors solen emmagatzemar en els servidors còpies automàtiques i temporals de les dades facilitades pel destinatari del servei (caching). En aquest cas els proveïdors tampoc no són responsables del contingut d’aquestes dades, sempre que no hagin modificat la informació.

• En el cas dels proveïdors de serveis que allotgen o emmagatzemen dades, aplicacions o serveis (hostatge), no hi haurà responsabilitat en els casos següents: quan els prestadors no tinguin coneixement efectiu que l’activitat o la informació és il·lícita o que pot lesionar béns o drets d’un tercer susceptible d’indemnització o en cas que en tinguin coneixement, no tenen cap responsabilitat si retiren amb prestesa les dades o hi impossibiliten l’accés.

Cal dir que, en aquest sentit, molts proveïdors ofereixen als usuaris la possibilitat de valorar els continguts i marcar-los en cas que el contingut no sigui lícit o lesioni els drets d’una persona. En aquests casos, els proveïdors supervisen els continguts marcats i determinen si cal o no cal eliminar-los. No obstant això, la llei no exigeix als prestadors l’obligació de supervisió, ni la realització de recerques de continguts il·lícits.

• Finalment, quan el prestador facilita enllaços amb continguts o inclou eines de cerca, no és responsable de la informació redirigida pels enllaços, sempre que es produeixin els requisits d’exempció, ja esmentats en l’apartat d’allotjament: quan els prestadors no tinguin coneixement efectiu que l’activitat o la informació és il·lícita o que pot lesionar béns o drets d’un tercer susceptible d’indemnització o en cas que en tinguin coneixement, no tenen cap responsabilitat si retiren amb prestesa les dades o hi impossibiliten l’accés.

Com a usuaris potencials del comerç electrònic, convé que conegueu les obligacions d’informació que tenen totes les empreses que es dediquen a aquesta activitat. El portal web ha de mostrar, entre d’altres, les dades següents:

• La denominació social, NIF, domicili i adreça de correu electrònic o fax.
• Els codis de conducta als quals s’ha adherit.
• Preus dels productes o serveis que ofereix, amb indicació dels impostos i despeses d’enviament.
• Si escau, les dades relatives a l’autorització administrativa necessària per a l’exercici de l’activitat, dades de col·legiació i títol acadèmic dels professionals que exerceixin l’activitat.

En cas que l’empresa faci contractes en línia, també caldrà que ofereixi la informació següent, amb caràcter previ a la contractació del servei:

• Tràmits que cal seguir per fer la contractació en línia.
• Si el document electrònic del contracte s’arxivarà i si serà accessible.
• Mitjans tècnics per identificar i corregir errors durant el procés d’introducció de dades.
• Idioma o idiomes en els quals es pot formalitzar el contracte.
• Condicions generals del contracte.

A més, l’usuari ha de rebre un acusament de rebut de la comanda feta.

Amb relació als usuaris d’Internet, els titulars de pàgines personals que no percebin cap ingrés econòmic pel seu web no estan subjectes a la llei. No obstant això, si guanyen diners (per exemple, gràcies a la inclusió de bàners en la seva pàgina), hauran de mostrar informació bàsica (nom, residència, adreça de correu electrònic, telèfon o fax i NIF) i respectar les normes de publicitat incloses en la llei:

• L’anunciant s’ha d’identificar clarament.
• El caràcter publicitari de la informació ha de resultar inequívoc.

El correu brossa consisteix en l’enviament no consentit pels receptorsde missatges de correu electrònic a una multitud de destinataris, amb finalitat comercial.

Si bé aquesta conducta s’associa freqüentment a l’esfera del mal anomenat delicte informàtic, i tot i que és susceptible de ser sancionada, no està recollida en el Codi Penal.

Això no obstant, dins de l’àmbit extrapenal, aquestes accions apareixen recollides de la manera següent:

• L’RGPD determina la necessitat del consentiment de la persona interessada en el cas del tractament de dades amb finalitats de publicitat i de prospecció comercial.
• L’LSSI també prohibeix l’enviament de comunicacions publicitàries per correu electrònic (o mitjans electrònics equivalents) si no ha estat prèviament autoritzat de manera expressa pels destinataris.

En general, pel que fa a la publicitat, cal que recordeu que qualsevol usuari té dret a conèixer la identitat de l’anunciant, a no rebre publicitat no sol·licitada i deixar de rebre la que ha autoritzat (si així ho fa saber).

Les infraccions de l’LSSI poden ser lleus, greus i molt greus.