L'auge de l'e-commerce posa en risc la nostra privacitat?

Antoni Rubí-Puig
Director del Postgrau en Protecció de Dades i Seguretat de la Informació

-

L'increment de l'e-commerce ha disparat els riscos per a la seguretat de la nostra informació i la protecció de les nostres dades personals?

La pandèmia de covid-19 ha incrementat de forma significativa la nostra activitat en línia i, per a moltes persones, ha alterat les formes d'adquirir productes i de rebre serveis. Els confinaments i altres restriccions, les situacions d'aïllament voluntari o les pors a trepitjar una botiga física, han fet que moltes persones optessin per fer bona part de les seves compres a Internet i que el comerç online es disparés durant el 2020. Però, ha disparat també aquest increment de l'e-commerce els riscos per a la seguretat de la nostra informació i la protecció de les nostres dades personals?

Els riscos són molts i diversos

El comerç en línia empra tecnologies automatitzades que comporten, per la seva mateixa naturalesa i funcionalitat, més tipus de dades processades i més formes de processament que en les interaccions comercials a una botiga física. Per això, almenys en termes absoluts, augmenten les possibilitats que, entre altres riscos, les dades personals dels consumidors no estiguin protegides adequadament i puguin ser accedides per tercers que les utilitzin amb finalitat fraudulenta (usurpació d'identitat, realització de despeses...); que les dades siguin utilitzades pels comerciants per a finalitats diferents de les necessàries per subscriure i complir el contracte de compravenda o per elaborar perfils dels consumidors amb la finalitat d'explotar emocions, d'afectar l'atenció, d'incrementar addicions o, simplement, d'establir preus diferents pels mateixos béns en funció de les característiques personals de cada consumidor; o que, a partir de les dades, hom pugui conèixer aspectes sensibles d'una persona com ara els seus problemes de salut, les seves pràctiques sexuals o les seves creences polítiques i filosòfiques. Molts d'aquests riscos també són presents al comerç presencial, però hi són amb una intensitat i un potencial danyós molt inferiors.

Un entorn orientat a la protecció

Des dels inicis de l'e-commerce, la preocupació per la seguretat de la informació i per poder oferir confiança als consumidors ha estat constant. El desplegament del comerç a Internet ha anat acompanyat del desenvolupament d'estàndards tècnics, adoptats de forma voluntària, per reduir els riscos de bretxes de seguretat i minimitzar accessos indeguts a dades personals, especialment, de les dades relatives a mitjans de pagament.

La pandèmia ha provocat que molts comerços s'hagin llançat a correcuita a explorar els avantatges d'internet i, sovint, les noves pàgines web s'han fet de pressa les mesures per protegir la informació son insuficients

La pandèmia ha provocat, però, que molts comerços s'hagin llançat a correcuita a explorar els avantatges d'internet i, de vegades, les noves pàgines web s'han fet de pressa i malament i les mesures adoptades per protegir la informació són probablement insuficients. Tanmateix, fins i tot, grans operadors en mercats online poden ser víctimes de bretxes de dades personals: 2020 ha estat, per exemple, l'any en què l'autoritat britànica de protecció de dades ha sancionat British Airways amb una multa de 20 milions de lliures després que una manca de seguretat adequada permetés a tercers accedir a les dades financeres de més de 400.000 clients.

De vegades, alguns estàndards tècnics es converteixen en dret. Per exemple, des del primer de gener d'enguany són exigibles els sistemes d'autenticació reforçada de clients (SCA) derivats de la segona Directiva de Serveis de Pagaments (DPS2), que redueixen, per tant, una de les preocupacions principals dels consumidors sobre el comerç electrònic. El dret també compta amb altres normes, principalment el Reglament General de Protecció de Dades, orientades a la protecció i a proporcionar confiança als diferents operadors sobre com han de processar aquesta informació i amb quines finalitats i bases. El Reglament obliga els operadors a ser proactius en la protecció de les dades personals que processen i a adoptar mesures tècniques i organitzatives de seguretat de la informació, que permetin verificar el compliment normatiu i mostrar que es prenen la protecció de dades personals seriosament.

Canvis a l'horitzó

El mercat, la tecnologia i el dret són factors que interaccionen i contribueixen plegats a determinar els nivells de privacitat i seguretat de la informació. De ben segur que l'any 2021 veurem canvis en totes aquestes dimensions.

En l'àmbit del dret, hi ha almenys dues grans iniciatives en marxa que hi poden influir. En primer lloc, el 15 de desembre de 2020 es va publicar la proposta de Reglament de mercat únic de serveis digitals (Digital Services Act). Entre altres, inclou normes sobre publicitat i ofertes personalitzades adreçades als consumidors i sobre sistemes de recomanació de continguts en plataformes digitals que, a la pràctica, limitaran què poden fer els comerciants amb les dades personals dels seus clients. En segon lloc, després de quatre anys de bloqueig, aquest febrer el Consell de la UE ha reprès de nou les negociacions amb el Parlament Europeu per a l'elaboració d'un Reglament sobre e-privacitat. Veurem com es concreta el text definitiu, si incrementarà la protecció dels consumidors i si, per exemple, suposarà la fi dels avorribles missatges sobre cookies que rebem quan visitem una botiga online.