Abans d’analitzar si poden sancionar-te per tenir una web no segura, t’explicarem com identificar una web segura i que són els protocols http i https.

Com saber si una web és segura?

Com a usuari d’internet, quan entris a una pàgina web és important que et fixis si la URL comença per https:// o té el símbol d’un cadenat, sobretot si a través d’aquesta pàgina web proporcionaràs dades personals (el teu nom, cognoms, DNI, núm. de targeta, domicili, etc.).

L’adreça o URL de totes les pàgines web disponibles en internet sempre comença amb les sigles http:// o https://. Aquestes sigles fan referència al protocol HTTP, en català, Protocol de Transferència d’Hipertext, que utilitza el servidor on es troba allotjada la web per a comunicar-se amb el navegador del teu dispositiu. 

Quina és la diferència entre http i https?

Les pàgines web que utilitzen tecnologia http no xifren les transferències de dades entre el teu navegador i el servidor on es troba allotjada aquesta pàgina web. Per tant, aquestes dades podrien ser interceptats per tercers.

Per contra, les pàgines web que utilitzen el protocol https xifren o encripten les transferències de dades entre el teu navegador i el servidor on es troba allotjada aquesta pàgina web, de manera que resulta pràcticament impossible que aquestes dades puguin ser interceptats per tercers.

En conseqüència, si utilitzes una pàgina web amb protocol http i no https has de tenir en compte que totes les dades que introdueixis en la mateixa (el teu nom, cognoms, DNI, núm. de targeta, domicili, etc.) s’enviaran al servidor on aquesta web es troba allotjada sense xifrar-se, fet que facilita la intercepció d’aquestes dades per part de tercers.

Conseqüències d’utilitzar protocols http en la teva pàgina web

La primera conseqüència és, tal com es comentava en el punt anterior, el risc que les dades dels teus usuaris web siguin interceptats per tercers, amb les implicacions i perjudicis que aquest risc pot comportar tant als titulars de les dades com al responsable de la pàgina web, en tractar-se, segons el que s’estableix en el RGPD, d’un bretxa de seguretat .

Sobre l’anterior, no resultaria estrany que més d’un usuari web decideixi no posar en risc les seves dades i opti per no comprar un determinat servei o producte si la pàgina web que ho ofereix no utilitza una tecnologia o protocol de xitratge de dades https. Sobretot, si tenim en compte que la majoria dels navegadors web adverteixen als seus usuaris si les pàgines web a les quals estan accedint són segures o no. És a dir, si utilitzen un certificat o protocol no segur (http) o bé, si utilitzen un certificat o protocol segur (https).

La segona conseqüència, podria arribar en forma de requeriment o sanció de l’Agència Espanyola de Protecció de Dades (AEPD), per infracció del que s’estableix en l’article 32, sobre seguretat del tractament de dades personals, del Reglament General de Protecció de Dades – EU 675/2016- (RGPD).

I és que, l’article 32 del RGPD, dedicat a la seguretat del tractament de dades personals, estableix que els encarregats o responsables del tractament de dades personals han d’aplicar mesures tècniques i organitzatives apropiades per a garantir un nivell de seguretat adequat al risc per als drets i llibertats dels titulars de les dades, tenint en compte l’estat de la tècnica, els costos d’aplicació, la naturalesa, abast, context i fins del tractament.

Segons aquest article, algunes de les mesures tècniques i organitzatives considerades com a apropiades per a garantir un nivell de seguretat adequat al risc (la implementació del qual correspon als responsables del tractament) són:

a) la pseudonimització i el xifratge de dades personals;

b) la capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanent dels sistemes i serveis de tractament;

c) la capacitat de restaurar la disponibilitat i l’accés a les dades personals de manera ràpida en cas d’incident físic o tècnic;

d) un procés de verificació, avaluació i valoració regulars de l’eficàcia de les mesures tècniques i organitzatives per a garantir la seguretat del tractament.

Com veiem el legislador no estableix un llistat de mesures a implementar en cada cas, limitant-se a recomanar algunes considerades com a apropiades. I és que, el RGPD es basa en el principi de responsabilitat activa , és a dir, el deure dels responsables de complir amb la normativa sobre protecció de dades i ser capaces de demostrar-ho.

Per tant, el responsable del tractament, en aquest cas el responsable d’una pàgina web, ha d’analitzar el risc que implica, per a l’interessat, el tractament de dades que realitza a través del seu web i, en conseqüència, adoptar les mesures tècniques i organitzatives que garanteixin un nivell de seguretat adequat, tenint en compte l’estat de la tècnica, els costos d’aplicació, la naturalesa, abast, context i fins del tractament.

Poden sancionar-te per tenir una web no segura (amb http i no https)?

Abans de preguntar-te si poden sancionar-te per no usar un protocol o certificat https en el teu web, és a dir, que encripti o xifri la informació que es transmet entre els dispositius dels teus usuaris web i el servidor on es troba allotjada el teu web. Has de preguntar-te quines dades dels teus usuaris web tràfics, reculls o emmagatzemes a través de la teva pàgina web i en què país està situat el servidor en el qual es troba allotjada el teu web, perquè podria estar-se produint una transferència internacional de dades, fet que segons el RGPD implica majors obligacions per al responsable. 

No és el mateix tenir una pàgina web merament informativa on no es permeti als usuaris introduir dades personals, que tenir una botiga online, on els usuaris que vulguin comprar productes o serveis hagin de facilitar les seves dades de contacte i/o dades bancàries (núm. de compte o de targeta).

Per tant, si la teva pàgina web no permet la recollida de cap dada personal dels usuaris que accedeixin a aquesta, en principi no estaries exposat a una possible sanció al no transmetre’s dades personals o confidencials entre el navegador dels teus usuaris i el servidor on s’emmagatzema el teu web.

Si per contra, la teva pàgina web permet el tractament de dades personals dels teus usuaris web, ja sigui perquè conté un formulari de contacte, permet el registre d’usuaris o per tractar-se d’una botiga online, per posar alguns dels exemples més freqüents, sí que hauries d’utilitzar certificats o protocols de seguretat que encriptin la transferència de dades entre els dispositius dels teus usuaris web i el servidor on es troba allotjada el teu web (https). Si no ho fas, has de tenir en compte que la teva conducta pot considerar-se com una infracció de l’article 32 del RGPD, tal com veurem a continuació.

L’AEPD sanciona a una empresa per no utilitzar el protocol https en la seva pàgina web

En data recent l’AEPD ha imposat una sanció de 1.000€ a una societat mercantil que no utilitzava un protocol de seguretat https en la seva pàgina web, per considerar que la seva conducta infringeix l’article 32 del RGPD.

A continuació detallem els aspectes més rellevants d’aquest procediment sancionador:

– Procediment Sancionador núm.: 00185/2020

– Antecedents:

PRIMER: Amb data 01/05/19, va tenir entrada en aquesta Agència, denúncia presentada per la reclamant en la qual indicava, entre altres, el següent:

“El passat 20 d’abril detecti que la web mancava de mesures de seguretat per a protegir les dades personals com (HTTPS). A més, la web manca d’informació respecte al processament de les dades personals i la seva finalitat, així com, el període en el qual s’emmagatzemen. He contactat amb el venedor instant que millori i adapti la seguretat del seu web a la legislació vigent i no ha respost a cap email”.

TERCER: Amb data 15/06/20, consultada la pàgina web **URL.1, es va poder constatar les següents característiques respecte als seus protocols de seguretat, la seva “política de privacitat” i la seva “política de cookies”:

“La web denunciada comercialitza plaques de matrícula de vehicles, per a la seva venda online. Per a adquirir un joc de plaques de matrícula, els usuaris han d’introduir les seves dades personals en la fulla de comanda: nom i cognoms; DNI; matrícula del vehicle i fins i tot número de bastidor. A més, han d’escanejar i enviar en fitxers adjunts tos, el permís de circulació del vehicle; el DNI per totes dues cares i el justificant de pagament”.

Respecte dels protocols de seguretat utilitzats:

En accedir a la pàgina web denunciada, es comprova que s’accedeix a l’adreça: **DIRECCIÓ.1, amb protocol de seguretat “http”, possibilitant així, que altres usuaris puguin interceptar la informació que es transfereix des del terminal del client al servidor web, ja que la informació que proporcionen els usuaris no es transfereix de manera segura (encriptada).

– Fets provats

1r.- La pàgina web denunciada comercialitza plaques de matrícula de vehicles, per a la seva venda on-line. Per a adquirir un joc de plaques, els usuaris han d’introduir les seves dades personals en la fulla de comanda: nom i cognoms; DNI; matrícula del vehicle i fins i tot número de bastidor. A més, han d’escanejar i enviar en fitxers adjunts, el permís de circulació del vehicle; el DNI per totes dues cares i el justificant de pagament.

2n.- Respecte dels protocols de seguretat utilitzats:

En accedir a la pàgina web denunciada, es comprova que s’accedeix a l’adreça: **DIRECCIÓ.1, amb protocol de seguretat “http”, possibilitant així, que altres usuaris puguin interceptar la informació que es transfereix des del terminal del client al servidor web, ja que la informació que proporcionen els usuaris no es transfereix de manera segura (encriptada).

– Fallada

PRIMER: IMPOSAR a l’entitat MIGUEL IBÁÑEZ BEZANILLA S.L., amb CIF.: B39730973 titular de la pàgina web **URL.1 per Infracció dels articles 32 i 13 del RGPD respecte de la política de seguretat i respecte de la política de privacitat respectivament i per la infracció de l’article 22.2) de la LSSI, respecte de la seva Política de Cookies, una sanció de 3.000 euros (tres mil euros= 1.000 euros (art. 32 RGPD) + 1.000 euros (art. 13 RGPD) + 1.000 euros (art. 22.2 LSSI).

Esperem que aquest article t’hagi estat d’utilitat. Si desitges llegir la sanció completa pots fer-ho seguint aquest enllaç, i si prefereixes consultar més articles com aquest, pots fer-ho a través de la nostra web o a través de les nostres xarxes socials:  LinkedIn, Facebook i Twitter.

Si t’ha quedat algun dubte o necessites assessorament sobre com complir la normativa de protecció de dades vigent  contacta amb nosaltres.