La seguretat i la privacitat a la teva web

La seguretat i la privacitat / La seguridad i la privacidad

Ens estem acostumant a pensar que tenir una web segura és tan senzill com complir les exigències legals i prou. Però això no és veritat, perquè, quan parlem d’informàtica, sota l’etiqueta SEGURETAT s’amaguen diversos conceptes, dels quals només uns quants estan contemplats a les lleis que afecten les webs i la xarxa que les relaciona. Assegurar la seguretat i la privacitat a la teva web passa, primer, per complir els preceptes legals, i després per una atenció continuada als aspectes que se’n deriven.

En què consisteixen la seguretat i la privacitat en informàtica

En general, entenem per seguretat el control de riscos. Intuïm que seguretat i risc son magnituds inversament proporcionals, que es relacionen entre elles segons el principi dels vasos comunicants. Quan es baixa la guàrdia en termes de seguretat, immediatament els riscos es multipliquen. Per això, per definir correctament en què consisteix la seguretat i la privacitat informàtiques hem de tenir presents els riscos que volem minimitzar establint les mesures adients per aconseguir-ho.

I de riscos n’hi ha tants com es puguin imaginar. En un moment en que Internet s’ha convertit en l’instrument principal de la productivitat humana, és un objectiu llaminer per les persones que, amb bones o males intencions, pretenen manipular-ne el flux. De vegades els hackers, de vegades agents polítics o empresarials volen intervenir-hi per treure’n un benefici propi, sigui millorant les seves posicions o debilitant les dels adversaris.

D’altra banda, quan parlem d’informació, parlem de dades. Les dades són el petroli dels nostres dies. El nostre model de vida es fonamenta en la seva correcta gestió. Per això quan les confiem a agents externs a nosaltres mateixos, es tracti de grans prestadors de serveis (com Google), de magatzems de documents particulars (com Dropbox), continguts generats per nosaltres mateixos (com les xarxes socials), de serveis de prestació de serveis electrònics (com Amazon, els bancs online o les botigues electròniques), o a les empreses que presten serveis d’allotjament a Internet (com som Internovatec), estem parlant de coses molt serioses.

Finalment hi ha riscos associats als drets vinculats al tractament de la nostra conducta quotidiana. Les cookies o galetes s’introdueixen al nostre ordinador per fer més grata la nostra experiència de navegació, sí, però també per facilitar dades precioses als agents que ens presten serveis, i que poden transformar en diners o influència sense massa dificultat.

La seguretat informàtica seria, doncs, el conjunt de pràctiques orientades a minimitzar aquests riscos, en la perspectiva tan ideal com impossible de reduir-los a zero.

Vetllar per la seguretat i la privacitat a la teva web no és una opció. És una necessitat.

Les exigències legals sobre la seguretat i la privacitat

Sempre s’ha dit que controlar Internet és impossible. És com posar portes al camps, ens deien. I és veritat. Però això no vol dir que no s’hagin d’establir mesures que assegurin que la xarxa no esdevingui un terreny de batalla, on els que tenen més recursos, tècnics, econòmics o de qualsevol mena, s’imposin sobre el més feble, que en el nostre cas acostuma a ser l’usuari d’Internet. Per aquest motiu les autoritats es van posar a treballar per establir mesures per regular les conductes a la xarxa que poguessin ser lesives o afectar drets individuals o col·lectius derivades de males pràctiques. El problema és que, com acostuma a passar, la realitat corre més que les lleis, que necessiten de consensos amplis i treballs molt precisos abans de ser publicades.

La situació és aquesta. La Unió europea, a través dels seus òrgans de Govern, està impulsant un gran document, anomenat Reglament e-Privacy, que va aprovant a trossos i que els estats van incorporant a les seves legislacions particulars. A cada passa del e-Privacy a Europa segueix una modificació legal o llei nova al cap algun temps als estats europeus.

Les lleis espanyoles de referència són la LSSI (Llei de serveis de la societat de la informació i del comerç electrònic), la LOPD-GDD (Llei Orgànica de protecció de dades personals i garantia dels drets digitals i el RGPD (reglament europeu de protecció de dades), d’obligada observança al nostre estat des del 25 de maig de 2018.

A què afecten aquestes lleis?

Són lleis garantistes. És a dir, en els seus preàmbuls i exposicions de motius consideren com el tràfic a Internet, la massificació del seu ús i els drets dels usuaris són allò que fa necessària una regulació. Són textos, per tant, orientats a preservar els drets dels usuaris en qüestions com ara el tractament de les seves dades, els límits de l’observació de les mateixes i el consentiment necessari per al seu ús.

En la pràctica, i d’una manera inicial, afecten tres elements presents en la majoria de les webs, sobre tot des del creixement del web 2.0 que permetia la interacció amb els usuaris i fins l’actualitat, en que aquesta interacció ha esdevingut la principal raó de ser de la xarxa. Aquests elements són els formularis web, les pàgines de definició de polítiques i les polítiques de cookies.

També a la pràctica, aquests elements es tradueixen en la publicació d’una pàgina d’avís legal, una de polítiques de privacitat, i una de política de cookies, sovint sustentada en un banner o element emergent que resumeix la pàgina i recull el consentiment dels usuaris pel que fa al tractament de les seves dades. En el cas de les webs de comerç electrònic cal afegir una pàgina que informa dels compromisos i procediments de l’empresa propietària del web respecte de les operacions comercials que es desenvolupen al espai virtual de la botiga electrònica. Aquests són els primers elements de la seguretat i la privacitat web que han de ser contemplats en la creació, disseny i manteniment de la vostra web. Perquè són els que responen a exigències legals, però també perquè són els que donen garanties als vostres clients sobre la naturalesa de la seva relació amb vosaltres.

Les “cookies” o galetes

Són petits fitxers que recullen i emmagatzemen informació sobre el comportament dels usuaris a Internet. El seu objectiu declarat és que faciliten la navegació, perquè els sistemes recorden les pràctiques dels usuaris i per tant s’anticipen a oferir-li allò que li cal de la web. Hi ha diversos tipus de cookies, i depenen de diversos aspectes, com ara el seu temps de emmagatzematge en els nostres sistemes, el lloc on s’allotgen o l’agent que les introdueix i que, beneficiant l’usuari, també en treu alguna mena de partit. En general, i simplificant força, direm que l’Agencia General de Protección de Datos reconeix aquests tres tipus, que són els transcendents de cara a una correcta implementació de les disposicions legals:

  • Cookies pròpies o de tercers. Són pròpies quan són administrades des del propi domini pel webmaster o propietari de l’espai web, que és el que consta a la pàgina d’Avís Legal. Són de tercers si estan gestionades per una entitat aliena a l’editor, a qui hem donat permís per introduir cookies i extreure’n la informació, amb finalitats d’anàlisi, de tràfec comercial o d’obtenció de dades significatives de l’usuari i del seu comportament en la navegació.
  • Cookies persistents o de sessió. Les persistents romanen emmagatzemades durant un temps més o menys llarg en el ordinador de l’usuari o els equips del seu servidor durant un temps relatiu per què puguin ser accessibles quan calgui. Les cookies de sessió només duren el que dura la sessió de navegació.
  • Cookies tècniques, de personalització, d’análisis publicitàries, destinades a supervisar el tràfic i treure’n informació en termes de comunicació, o bé a registrar en comportament on page personalitzat i adaptat a l’idioma, o bé a conèixer el comportament dels usuaris establir perfils tipus i les que apareixen en espais destinats a la promoció de productes i serveis.

La llei obliga les webs a explicar quina mena de galetes fa servir la teva web, a fi que l’usuari estigui informat, i també obliga a donar opció a l’usuari a activar o desactivar-les en funció de les seves necessitats o preferències. Això implica que la web ha de tenir els elements necessaris per a fer que l’usuari es senti segur en la seva experiència de navegació. Això es sol fer amb dos elements:

  • Un banner o element emergent que informa que la web fa servir cookies i ofereix la possibilitat d’acceptar-les, de no fer-ho o de rebre més informació. En aquest darrer cas, es remet l’usuari al segon element d’aquest procés.
  • La pàgina (o element emergent) on es destaca la política de galetes, amb la definició de les cookies que accepta la web, la seva funció, la seva vigència, qui les recull i l’ús que està previst fer-ne. Al final repeteix les opcions per refusar-les, acceptar-les o acceptar-les en part.

Els formularis

Són un altres element sotmès a exigències legals. Un formulari és qualsevol instrument que permet que l’usuari enviï informació a través de la web. Hi ha formularis anònims, però n’hi ha, de fet la majoria, que necessiten que l’usuari s’identifiqui a fi de rebre alguna mena de resposta, sigui en productes o serveis, sigui en informació. La web emmagatzema aquestes dades identificatives en una base de dades, que ha d’estar sotmesa a la protecció de la confidencialitat i la privacitat dels usuaris, així com l’explicació detallada de l’ús que se’n farà. Això està pensat per què els usuaris no es vegin invadits de cop per publicitat no desitjada o comunicacions inesperades. També s’ha d’incloure la possibilitat de revocació o modificació de les dades que la web ha emmagatzemat i que, lògicament, estan sota la custòdia del propietari o de l’administrador de la web.

La pàgina d’avís legal

És una pàgina que compleix bàsicament amb la funció d’explicar que entre el propietari de la web i l’usuari s’estableix un contracte, un acord que defineix les condicions de la navegació. Per tant, el propietari o responsable legal de la pàgina s’identifica amb les seves dades completes, i defineix els compromisos que estableix amb l’usuari.

La pàgina de privacitat

De la mateixa manera que la pàgina d’avís legal, la de privacitat marca el compromís del propietari a no fer servir les dades dels usuaris de manera no acordada amb ell, i a no cedir-les a tercers si prèviament no ha estat autoritzat. Moltes vegades, quan la web es connecta amb tercers que fan servir cookies -propietaris d’aplicacions, agents de serveis com butlletins, trameses electròniques, entitats bancàries o passarel·les de pagament- demanen a l’usuari el permís per poder operar amb ell. Sovint el formulari que es fa servir per obtenir aquest permís comporta el de l’acceptació de les galetes d’aquests agents.

Les conseqüències de no tenir la teva pàgina al dia en matèria de protecció de dades i privacitat

La llei preveu sancions severes pels cassos denunciats per usuaris o estudiats per l’Agencia de Protección de Datos. Només aquest element hauria de bastar per tenir la teva web al dia. Però hi ha un altre element que cal contemplar, i que hauria de ser prioritari pels propietaris de webs: la imatge de la seva marca i la projecció que té sobre l’usuari.

Efectivament, la societat està cada vegada més sensibilitzada en les qüestions de la seguretat i la privacitat, com ara la protecció de les dades personals. I més i més webs s’apunten a implementar les mesures establertes per la llei a fi de garantir els drets dels usuaris. Els usuaris, per tant, s’acostumen ràpidament a veure aquests banners i pàgines informatives. Fa poc temps, eren vistes per l’usuari com una exigència inútil, perquè eren vistes com un entrebanc per la seva llibertat de navegació. Aquesta observació està canviant ràpidament, i avui son vistes com una mesura pensada per garantir els seus drets. Això comporta que trobin a faltar-les en les webs que no les tenen implementades.

Què pot fer Internovatec per què la teva web compleixi les exigències legals i les demandes dels teus usuaris i usuàries?

Com a mínim dues coses:

  • Fer una auditoria de la seguretat de la teva web, amb recursos propis o, si la complexitat ho requereix amb l’ajut de col·laboradors especialistes en la matèria.
  • Implementar tècnicament els resultats d’aquesta auditoria de seguretat.

En aquest sentit cal dir que les exigències legals descrites només abasten una part dels riscos de seguretat que es poden donar en una web, de manera que no són els únics que es volen detectar en una auditoria. Elements com els continguts duplicats, la velocitat de càrrega, la vulnerabilitat respecte dels atacs informàtics son altres elements que s’hi han de contemplar. Complir les exigències legals només és el primer pas per tenir la teva web al dia en matèria de seguretat i privacitat

Finalment, volem destacar que aquest article té finalitat divulgativa, de manera que afegeix als textos legals consideracions i exemples que no apareixen en la literalitat dels articles de la llei. És er aquest motiu que et remetem als textos de les llei i als dictàmens dels especialistes si vols ampliar qualsevol dubte que aquests temes et plantegin.

Feu un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *