Què passa si esborrem aquestes dades?
Es parla molt de la importància de les dades i les informacions (tant personals com professionals i d’empresa), però, poc en sabem sobre com aplicar, de veritat, les normes que ens ajuden a protegir-les.
Aprofitem alguns articles d’en Ramon Arnó per il·lustrar:
- Com podem aplicar el Dret a l’Oblit, un d’aquests nous drets que el RGPD i la LOPDGDD ens van portar el 2018.
- Hem d’evitar esborrar les informacions contingudes a discs durs (o altres dispositius) si la nostra intenció només és causar danys
- És delicte recuperar informacions que han estat esborrades d’un disc dur, quan la nostra intenció és fer-les servir amb finalitats malintencionades
- Podem no tornar les dades a un client en finalitzar el contracte que teníem amb ell?
Gràcies a exemples clars, extrets d’entre les sentències fallades a Espanya, podrem entendre com n’és d’important estar atents a la manera com tracten les nostres dades o tractem les dels nostres treballadors, clients o proveïdors.
1.Com esborrar informació personal que apareix indexada a Google?: el dret a l’oblit.
Comencem per establir en què consisteix el dret a l’oblit, un dels nous drets digitals.
El RGPD estableix que els motors de cerca i XXSS han d’establir mecanismes que permetin la no aparició als resultats de cerca, de certa informació, una vegada han atès la sol·licitud de l’interessat. Tot i que cal reconèixer que no sempre resulta fàcil aconseguir que els cercadors o les xarxes atenguin les nostres peticions. En aquestes situacions, podem recórrer a la AEDP.
Resolució AEPD
En aquesta resolució s’analitza el cas d’un empresari que va exercir el seu dret a l’oblit o la supressió davant Google en aquests termes:
“Aquest agregador automàtic de dades ha afegit un document amb informació personal meva (nom i cognoms) amb informació de fa anys que pertany al meu àmbit personal i sense cap interès públic.
Aquesta informació no pertany a cap treball desenvolupat en cap moment (veure vida laboral) i, per tant, no és d’interès públic.
Per això sol·licito el meu dret a l’oblit en contenir dades personals (nom i cognoms).
Sol·licito que s’actuï perquè aquest document no sigui indexat per cap cercador davant la impossibilitat de posar-me en contacte amb el webmaster i el mateix cercador Google em remet a contactar amb el webmaster però no accedeix a fer cap desindexació.
Sol·licito l’empara de l’Agència Espanyola de Protecció de Dades perquè aquest document no sigui indexat pels cercadors. Que es publiquen dades personals al cercador sense el seu consentiment i sol·licita que no s’associïn en els resultats de cerca la/les URLs referenciada/des a la reclamació, que són conegudes per les parts”.
El dret a l’oblit
El dret a l’oblit es contempla en l’artícle 17 del RGPD, així com en l’artícle 93 de la LOPDGDD, sobre dret a l’oblit en recerques d’Internet, que determina, en el seu apartat 1, el següent:
“Tota persona té dret a que els motors de cerca a Internet eliminin de les llistes de resultats que es puguin obtenir després d’una cerca efectuada a partir del seu nom els enllaços publicats que puguin contenir informació relativa a aquesta persona quan siguin inadequats, inexactes, no pertinents, no actualitzats o excessius o hagin esdevingut com a tals pel transcurs del temps, tenint en compte les finalitats per a les quals es van recollir o tractar, el temps transcorregut i la naturalesa i interès públic de la informació.
De la mateixa manera s’haurà de procedir quan les circumstàncies personals que en el seu cas invoqués l’afectat evidenciessin la prevalença dels seus drets sobre el manteniment dels enllaços pel servei de cerca a Internet. Aquest dret subsistirà encara que fos lícita la conservació de la informació publicada al lloc web al qual es dirigís l’enllaç i no es procedís per aquesta al seu esborrat previ o simultani”.
La resposta de Google
Google va contestar al sol·licitant atenent la seva reclamació al cap de vuit dies de la seva sol·licitud i procedint a la supressió sol·licitada i a través de l’Agència s’ha comprovat que, en fer una cerca pel nom de la part reclamant al cercador Google, no apareix la URL qüestionada entre els resultats de cerca, objecte del present procediment.
2. És delicte l’esborrat voluntari de dades de diversos discos durs d’una empresa.
Enviar un document o carpeta a la paperera del nostre ordinador no l’esborra del sistema, per això també hem d’esborrar el disc dur, cosa que sí que fa desaparèixer aquesta informació.
Esborrar dades és una pràctica habitual i recomanada, com en els casos en què el termini per retenir aquestes dades s’ha complert (vegeu exemple més endavant). Tot i així, fer-ho amb la intenció de reutilitzar-los en benefici propi pot comportar una sanció.
La SAP de Pontevedra de 19-5-2021, ponent Dª. María del Rosa Cimadevilla Cea analitza el cas d’un soci que esborra els discos durs de l’empresa i alhora constitueix una nova societat amb el mateix objecte social.
Així, el soci de l’empresa, per causar un dany econòmic a la mateixa i al seu soci, va procedir a efectuar un esborrat de material de treball, documentació, informació i programes que estaven allotjats als ordinadors instal·lats a les referides oficines, de manera que l’activitat de la societat es va veure en aquell moment paralitzada.
La condemna és de tres mesos de multa amb una quota diària de dotze euros i el pagament de 3.584,02 euros com a responsabilitat civil pels treballs de recuperació dels arxius esborrats.
3.És delicte recuperar les fotos prèviament esborrades d’un disc dur i divulgar-les després sense el consentiment del titular?
Com s’ha dit just a dalt, resulta sa esborrar dades obsoletes o personals (dels dispositius professionals).
Si les dades han estat adequadament esborrades, no hi hauria d’haver raó per recuperar-los, sobretot si són personals i menys si això es fa amb intenció de causar mal a qui va esborrar aquests fitxers.
Doncs sí, i és el que van fer dos treballadors d’una empresa pública que van recuperar unes fotos esborrades d’un ordinador corporatiu usat per una altra treballadora, la qual abans de finalitzar la relació laboral, les havia suprimit de l’ordinador.
La SAP de Pamplona de 12-7-2021, ponent Dª Ana Montserrat Llorca Blanco, analitza el cas d’una treballadora que feia tasques de comptabilitat, va guardar en un ordinador d’una societat pública fotos personals i en acabar la relació laboral, les va esborrar abans de tornar l’ordinador a l’empresa.
Després d’això dos treballadors, utilitzant quatre programes diferents de recuperació de dades, van aconseguir recuperar els arxius i dades esborrades per la denunciant, entre elles fotos personals, familiars i íntimes (una d’elles en top less), i després un dels treballadors es va encarregar de difondre-les a tercers.
La sentència condemna un treballador a una pena de 2 anys i l’altre a 15 mesos de presó.
4. Multa de l’AEPD de 100.000 euros a empresa informàtica, que, en finalitzar el contracte amb el client, no li torna les dades.
En aquest interessant artícle, podem veure com, el no tornar les dades a un client, un cop finalitzat el contracte, és motiu de sancions importants.
Tota la controvèrsia que s’exposa al PS 315/2020, va començar amb una petició del client a l’empresa informàtica, en què li demanava resoldre el contracte vigent i recuperar tota la informació.
La raó era senzilla: el client volia gestionar a partir d’aquell moment la informació als seus propis servidors situats a les seves oficines, en comptes de continuar amb el contracte de hosting amb l’empresa informàtica.
És a partir d’aquest moment que l’empresa d’informàtica comença a fer una sèrie d’actuacions, com per exemple tancar-li al client l’accés a les seves dades durant 49 dies, causant-li importants perjudicis.
Els punts principals de la resolució
L’interès d’ aquesta resolució és que ens permet revisar temes de molt interès en una relació client-proveïdor quan es tracten dades de caràcter personal:
- Les dades que un client allotja a un servidor d’una empresa informàtica són propietat del client i no de l’empresa informàtica.
- El client(responsable del tractament) i l’empresa d’informàtica (encarregat del tractament) estan vinculats per un contracte d’encarregat de tractament (article 28 del reglament 2016/679).
- L’empresa informàtica tracta dades de caràcter personal per compte del client i seguint les seves instruccions.
- Si o si o si o si, el contracte d’encarregat de tractament s’ha de formalitzar sempre per escrit, per allò del verba volant scripta manent (les paraules volen, els escrits queden).
- Les dades personals s’han de tornar al client quan aquest ho demani, i aquesta és l’explicació per la qual en aquests contractes d’encarregat de tractament, sempre hi ha una clàusula (com la que constava al contracte entre client i empresa informàtica) que obligava l’empresa informàtica a:
“ … tornar al client, una vegada conclosa la prestació de serveis objecte del present contracte, tots els documents i arxius en què es troben reflectits totes o algunes de les dades sigui quin sigui el seu suport o format, així com les còpies d’aquests …”.
La multa de 100.000 euros s’explica per la infracció de l’article 28.3.g) del RGPD, d’acord amb l’article 83.4 b) del mateix text y de l’article 74.k) de la LOPDGDD, sanció totalment evitable si l’empresa d’informàtica ha actuat, simplement, complint el contracte d’encarregat de tractament per allò del pacta sunt servanda.
La importància d’esborrar les dades correctament
A primera vista, el tema d’esborrar dades pot semblar senzill, encara que, com hem pogut veure en aquests exemples, es donen casos en què les persones no semblem ser conscients de l’abast dels nostres actes.
T’interrogues sobre el RGPD o la ISO27001? Necessites consell sobre com protegir les dades de la teva organització? Vols saber com gestionar i/o monitoritzar el tractament de les dades a la teva empresa? Els equips d’ESCUDA estem plenament involucrats a protegir la seguretat tant de les dades com dels actius dels nostres clients. Pots contactar-nos trucant al 931 931 848 o omplint aquest formulari, estarem encantats d’atendre’t.
Més informació:
Saps com n’és d’important separar les nostres dades personals de les de l’empresa?
¿Puede el empresario acceder a los mails privados de un trabajador?
Quins ciberriscos causa la inconsciència dels treballadors?
Còpies de seguretat: estan protegides les dades de la meva empresa?
#escuda #RamonArnoTorrades #RGPD #LOPDGDD #dadespersonals #dadesprofesionals #revelaciodesecrets #dretalaintimitat
Pot ser que aquests articles t’agradin
Quin seria l’impacte d’un ciberatac a la nostra organització?
La meva organització és a punt per fer front a un ciberatac? En anteriors publicacions ens hem preguntat “Per què les meves dades interessen als ciberdelinqüents” I sobretot “És possible evitar atacs a través dels mails? Com?” També hem informat d'algun cas en què un...
El 80% de les empreses creu que patirà un ciberatac contra les seves dades
La ciberseguretat és una qüestió cada vegada més present en molts equips empresarials. Tot i així, encara que la consciència estigui creixent molts professionals de la ciberseguretat creuen que les empreses en què treballen seran igualment víctima d'atacs. De fet, un...
