Una política de privacidad es un documento que detalla cómo una empresa u organización maneja la información que recopila. Debe revelar la información que planea recopilar, como el nombre del visitante del sitio, la dirección, el número de tarjeta de crédito, etc. Si los datos se dejan en la computadora de un usuario (como cookies), esto debe especificarse junto con la información sobre si los datos del cliente será compartido o vendido a terceros.
¿Cuándo son obligatorias las políticas de privacidad web?
Regulado por la Comisión Federal de Comercio (FTC), las leyes que rodean las políticas de privacidad en los Estados Unidos son complejas y varían de estado a estado. Si bien las leyes se relajan en ciertas áreas, el estado de California, por ejemplo, tiene leyes estrictas que requieren que todos los propietarios de sitios web comerciales incluyan una política de privacidad. Por lo tanto, los operadores de sitios web que viven en los EE. UU. Deben asegurarse de que su sitio cumpla con las leyes de sus respectivos estados. No obstante, la ley federal requiere que compañías y páginas web concretas proporcionen políticas de privacidad. Estos incluyen sitios web dirigidos a niños menores de 13 años, sitios web de servicios de atención médica e instituciones financieras.
Los problemas relacionados con la recopilación de datos son ciertamente controvertidos. Una gran cantidad de datos se guarda automáticamente, a menudo sin el conocimiento del usuario. Por ejemplo, los servidores web registran las direcciones IP en los archivos de registro, los iconos integrados de las redes sociales transmiten datos personales relacionados con los perfiles de las redes sociales y las cookies guardan información sobre los usuarios y su comportamiento en línea.
Los problemas de seguridad de datos relacionados con las herramientas de análisis del sitio web, como Google Analytics, también son controvertidos, ya que la herramienta registra datos como direcciones IP. Los operadores de páginas web pueden eludir el permiso de los usuarios para recopilar datos. ¿Cómo? Abreviando la dirección IP hasta el último conjunto de dígitos.
Nota
Cuando se trata de direcciones IP, la situación legal no ha sido clara durante mucho tiempo. Recientemente, sin embargo, el Tribunal de Justicia de las Comunidades Europeas ha descubierto que es posible rastrear un enlace entre una dirección IP y datos personales reales a través del proveedor de Internet de un individuo. Esto significa que las direcciones IP también deben tratarse como datos personales, ya que pueden usarse para crear la huella digital de alguien mientras navega en línea.
¿Cuáles son las sanciones por incumplimiento de las leyes de políticas de privacidad en su web?
Aquellos declarados culpables de violar las leyes de seguridad de datos pueden recibir amplias sanciones y sanciones. Además de los costos de enjuiciamiento, las órdenes judiciales y los costos de compensación, los delincuentes que no brindan la seguridad de datos adecuada también podrían recibir multas de hasta $ 16,000 bajo la Ley FTC. Sin embargo, las medidas punitivas varían dependiendo de las acciones del perpetrador, la gravedad de la violación y la cantidad de personas afectadas.
Por ejemplo, la recopilación o distribución fraudulenta de datos personales también puede dar lugar a sanciones adicionales y una sentencia de prisión de hasta cinco años. Esto puede aumentar a diez años y una multa de hasta $ 500,000 para un individuo o $ 1 millón para una empresa si el delito se ha cometido junto con otras violaciones, o si el autor ha vendido datos para beneficio personal.
Según la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA), los proveedores de atención médica, las farmacias y otras instituciones o compañías que manejan información médica pueden estar sujetos a multas que oscilan entre $ 100 y $ 1.5 millones, dependiendo de la gravedad del delito.
Incorporando unas políticas de privacidad web
Si debe tener unas políticas de privacidad en su sitio web, debe asegurarse de que sea lo más accesible posible. Usualmente se puede encontrar fácilmente en el sitio web, en los Términos y condiciones, o simplemente puede saltar directamente a la declaración de política de privacidad. Debe presentar la declaración como una página separada con un enlace claramente marcado en el menú principal. También es esencial que la política de privacidad sea fácil de entender, por lo que es aconsejable usar un lenguaje simple y evitar términos legales o técnicos complejos. En términos de contenido, es vital que la información sea precisa y sin ambigüedades .
También es importante incluir la siguiente información en su política de privacidad:
- Un resumen de los datos técnicos recopilados y / o transmitidos (es decir, direcciones IP, direcciones de correo electrónico, etc.)
- Un resumen de los datos personales recopilados y / o transmitidos (es decir, nombre, dirección, etc.)
- Datos transferidos desde los navegadores (por ejemplo, el historial del navegador)
- Información sobre características especiales, como sorteos, publicidad en línea, etc.
- Si es necesario, información sobre el uso de herramientas de análisis web como Google Analytics
- Estas medidas son tomadas para asegurar la seguridad de los datos.
- Información sobre el derecho de objeción del usuario.
Datos de contacto representativos
Algunas leyes estatales pueden requerir que su política de privacidad proporcione información de contacto en caso de que un cliente tenga una consulta sobre la política o el uso de sus datos. A pesar de que esto no es una ley federal, cada vez es más común y se considera que las mejores prácticas incluyen un punto de contacto. Las políticas de privacidad pueden incluir el nombre, la dirección postal, la dirección de correo electrónico o el número de teléfono del representante de la política de privacidad. Aquí hay una muestra de cómo podría ser el párrafo relevante en su declaración de privacidad:
Datos de contacto de muestra:
Nombre de la (s) persona (s) responsable (s)
Dirección
País
Teléfono
Correo electrónico
Otros datos importantes
Soporte con políticas de privacidad web: plantillas y generadores
Muchas soluciones gratuitas en línea ayudan a generar políticas de privacidad para sitios web. Las plantillas existentes están disponibles y es fácil encontrar una que sea adecuada en línea. Las plantillas pre-escritas son otra opción. Estos incluyen información valiosa sobre la protección de los datos del usuario y se pueden aplicar a las redes sociales, cookies o boletines. Esto brinda a los usuarios la ventaja adicional de recibir declaraciones de protección de datos de Google Analytics u otras herramientas de análisis. Estos se entregan en formularios completos e incluyen enlaces para usuarios que se oponen a que sus datos sean entregados a terceros.
Además de las muchas plantillas disponibles, algunos sitios web también ofrecen generadores de políticas de privacidad gratuitos que reúnen textos de muestra para producir una declaración final. El resultado generalmente se da como un código HTML.
Las plantillas y los generadores facilitan la redacción de una política de privacidad adecuada para su sitio web. Sin embargo, es importante ser diligente para garantizar que los resultados sean relevantes para su sitio web específico. Las plantillas pueden proporcionar una excelente base para su declaración, aunque a menudo hay detalles que deben cambiarse o elaborarse. Si no está seguro de si su política de privacidad es correcta, es aconsejable buscar el asesoramiento de un experto legal.
Cambios en la legislación de la UE: el GDPR
El Reglamento General de Protección de Datos (GDPR) es una regulación en la legislación de la UE sobre protección de datos y privacidad y afecta a aquellos dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE). El objetivo principal de esta regulación es dar a los ciudadanos y residentes más control sobre sus datos y lo que les sucede. Dado que todos los países de la UE se adhieren a las mismas regulaciones, facilita mucho las transacciones entre países.
Todas las empresas que hacen negocios en la UE o el EEE deben almacenar datos personales mediante seudonimización o anonimización completa, así como la configuración de privacidad más alta posible. No puede estar disponible públicamente sin el consentimiento previo del individuo. Si se produce una violación de datos, las empresas deben informarlo dentro de las 72 horas en caso de que los datos de los clientes estén en riesgo.
Aunque el GDPR fue adoptada el 14 de abril 2016, no se aplicó hasta el 25 de mayo de 2018. Dado que es un reglamento, que no requiere de un gobierno nacional para decidir sobre cualquier legislación.
El documento de 54.000 palabras se puede resumir en estos puntos:
- Las empresas deben conseguir el permiso de los usuarios con considerablemente más detalle antes de emplearlo con fines de marketing o bien publicidad.
- Los usuarios deben poder descargar sus propios datos en un formato que puedan llevar a un servicio de la competencia. Esto se conoce como «portabilidad de datos».
- Los usuarios deben poder inspeccionar todos los datos recopilados por la empresa y modificar cualquier cosa si es necesario, así como tener la opción de eliminarlos si ya no quieren que la empresa los posea.
- Los usuarios ahora pueden desafiar las resoluciones del algoritmo que les afectan y pedir que los humanos tomen estas decisiones.
¿Qué significan los cambios de la UE para los Estados Unidos?
El de EE.UU. no tiene un equivalente legal a la GDPR ya que la mayoría de los estados tienen sus propias leyes que rigen las violaciones de datos y requisitos de notificación. Normalmente, solo se utiliza una cantidad limitada de datos, a saber, números de seguridad social e información de salud o financiera.
Aunque estos cambios de GDPR son para países de la UE, las empresas en los EE. UU. tendrán que adaptarse a ellos si hacen negocios en algún país europeo. Tiene sentido reescribir sus políticas de privacidad para Europa; de lo contrario, podría ser multado por no cumplirlas.
Ejemplo: Facebook
Facebook es un ejemplo de una empresa que necesita cumplir con estas leyes. En abril de 2018, el CEO de Facebook, Mark Zuckerberg, testificó ante el Congreso de los EE. UU. Sobre la privacidad de los datos. El tema del GDPR surgió con bastante frecuencia, pero los funcionarios de la UE no estaban satisfechos con las respuestas que dio a muchas de las preguntas. A principios de 2018, al menos 87 millones de usuarios de Facebook filtraron sus datos a terceros: una razón más para adherirse a las leyes GDPR, cuyo objetivo es proteger a los usuarios de futuras filtraciones de datos y darles más control sobre lo que les sucede a sus información personal.
Los nuevos cambios establecen que si hay una violación de datos, los usuarios deben ser notificados dentro de las 72 horas. Un ejemplo de una compañía que necesita actuar de manera diferente esta vez es Equifax, una agencia de informes de crédito al consumidor, que pasó semanas en 2017 tratando de detener un ataque de violación de datos y decidiendo qué hacer ante el daño antes de que la compañía pensara notificar a los clientes.
Si esto sucediera ahora que el GDPR está en su lugar, la compañía podría recibir una multa considerable, al igual que Facebook ($ 1.6 mil millones en función de sus ingresos anuales). Aquí hay algunas políticas de privacidad de muestra que los operadores de sitios web de EE.UU. que tratan con usuarios de la UE pueden tener en cuenta para asegurarse de que cumplen con los RGPD. Para cumplir, su política de privacidad debe cubrir los siguientes aspectos.
Fundamentos legales para el procesamiento de datos.
Es su deber informar los usos de la base legal para recopilar y procesar datos personales. Para hacer esto, se debe cumplir al menos una de las siguientes condiciones de acuerdo con el Artículo 6 del RGPD:
- El sujeto ha dado su consentimiento.
- El procesamiento de datos es necesario para cumplir un contrato con el sujeto o para llevar a cabo operaciones precontractuales
- El controlador cumple una obligación legal a la que está sujeto
- El propósito del procesamiento es proteger los intereses vitales del interesado u otra persona.
- El procesamiento de datos es de interés público.
- Es necesario salvaguardar los intereses legítimos del controlador o de un tercero (siempre que no se infrinjan los derechos y libertades fundamentales del sujeto).
Muestra de proporcionar una base legal
En la medida en que hayamos obtenido el consentimiento del sujeto para el procesamiento de datos personales, el artículo 6 (1) (1a) del RGPD se aplica como base legal.
Cuando el procesamiento de datos personales es necesario para cumplir un contrato con el sujeto o para medidas precontractuales iniciadas por el sujeto de datos, el Artículo 6 (1) (1b) del GDPR proporciona la base legal.
Si el procesamiento de datos es el resultado de una obligación legal a la que estamos sujetos, nos referimos al Artículo 6 (1) (1c) del RGPD como base legal.
Cuando los datos personales se procesan para proteger los intereses vitales del sujeto u otra persona física, el artículo (6) (1) (1d) del RGPD sirve como base legal.
Si el procesamiento de datos como una tarea sirve al interés público o tiene lugar en el ejercicio de la autoridad oficial, nos referimos al Artículo 6 (1) (1e) del RGPD como base legal.
En la medida en que el procesamiento de datos personales sea necesario para salvaguardar los intereses legítimos del controlador o de un tercero sin poner en peligro estos intereses, derechos fundamentales o libertades fundamentales del sujeto, el Artículo 6 (1) (1f) se aplicará como La base legal.
Propósitos del procesamiento de datos
Además de la base legal, debe incluir los propósitos para procesar la información relevante relacionada con los datos en su declaración de privacidad. Para lograr la transparencia, le recomendamos que divulgue cualquier componente de su sitio web que recopile estos datos, incluidos:
- Formularios de contacto
- Boletín de suscripción
- Campos de entrada (por ejemplo, para ingresar datos bancarios en un carrito de compras)
- Códigos de seguimiento
- Complementos de terceros (por ejemplo, botones sociales)
- Contenido de terceros (por ejemplo, videos de YouTube)
- Competencias
- Cookies
Si el artículo 6 (1) (1f) mencionado anteriormente del GDPR es relevante para su sitio web, también debe revelar sus intereses legítimos en su política de privacidad. Al hacer esto, debe verificar si está protegiendo los intereses y derechos de los usuarios de su sitio web de la mejor manera posible. Los propósitos típicos son, por ejemplo, analizar el comportamiento de los visitantes para optimizar el sitio web y entregar contenido personalizado con fines de marketing.
Nota
Cuando se trata de incrustar contenido externo, deberá actuar con más precaución en el futuro, ya que el RGPD aumenta la necesidad de informar al usuario antes del procesamiento de datos. Sin embargo, el contenido de terceros como los vídeos de YouTube transmiten datos de forma predeterminada cuando se accede al sitio web. Google ya ha reaccionado a esto e implementó un «modo de protección de datos extendido» en las opciones de incrustación de YouTube. Si habilita esto, generará un código de inserción que no transmitirá datos hasta que se vea el vídeo.
Plantilla para indicar los propósitos del procesamiento de datos
Para que su visita a nuestro sitio web sea lo más fácil posible para el usuario y para proporcionarle todas las funciones disponibles, recopilamos datos específicos del dispositivo que utilizó para acceder a nuestro sitio web. Esta información incluye su:
- dirección IP
- Sistema operativo
- Tipo de navegador y versión
- Fecha y hora de acceso
- …
No se realizará una evaluación de estos datos con fines de marketing.
Destinatarios de los datos personales
Si pasa datos personales a terceros, también debe informar a sus usuarios de esto como parte de la declaración de protección de datos. Por ejemplo, si ejecuta una tienda en línea, es muy probable que incluya otros proveedores de servicios, como proveedores o servicios de pago, en su proceso comercial.
Este segmento también incluye implementaciones de cookies y extensiones de terceros, cuyo uso siempre se ha relacionado con la divulgación de información personal. Estos incluyen códigos de seguimiento y botones de redes sociales. En ambos casos, puede indicar un interés legítimo para justificar el uso; sin embargo, también es aconsejable obtener el consentimiento de los visitantes (en el caso de botones de redes sociales, el uso de un procedimiento compatible con la protección de datos como la solución de dos clics es una buena idea).
También debe incluir servicios de publicidad como Google AdSense o AdWords como destinatarios si los usa para que los usuarios de Internet encuentren su sitio web.
Muestra de la especificación de proveedores externos integrados (ejemplo: «complemento de Facebook»).
Este sitio web utiliza un desarrollador de complementos sociales de Facebook de Facebook Inc. (1 Hacker Way, Menlo Park, California 94025 EE. UU.) Y es reconocible por el logotipo de Facebook. El complemento establece una conexión directa entre su navegador y los servidores de Facebook una vez que se ha activado. Esto requiere hacer clic en el botón correspondiente. No tenemos ningún tipo de influencia sobre qué tipo y en qué medida sus datos se transmiten a Facebook Inc. Puede encontrar una declaración de la compañía de redes sociales sobre este tema a través del siguiente enlace.
Nota
Si tiene la intención de divulgar información personal a un destinatario en un tercer país o a una organización que opera internacionalmente, también debe divulgar esta intención en su política de privacidad.
Duración del almacenamiento de datos
Para que el procesamiento de datos sea lo más justo y transparente posible, también debe revelar durante cuánto tiempo se almacenarán los datos personales. Si no se puede formular un valor claro para esto, puede presentar los criterios que influyen en el período de almacenamiento de datos. Como regla, por ejemplo, puede proporcionar información concreta para el almacenamiento de direcciones IP anónimas en los archivos de registro si ha configurado la eliminación automática después de un cierto período de tiempo. Si, por otro lado, trabaja con cookies que hacen que el visitante sea identificable durante la sesión, la duración de ese almacenamiento de datos está vinculada a la duración de cada sesión individual.
Muestra de una especificación de duración de almacenamiento de datos.
Todos los datos personales que hemos recopilado durante su visita mediante el uso de cookies de sesión se eliminan automáticamente tan pronto como se haya cumplido el propósito de su recopilación. Por lo tanto, los datos de la sesión se almacenan hasta que finalice su sesión (al abandonar o cerrar el sitio web).
Nota
Si almacena los datos personales en servidores fuera de la UE, esto debe indicarse en la declaración de protección de datos de su sitio web, incluida la referencia a posibles regulaciones de protección de datos diferentes en la ubicación del servidor.
Referencia a los derechos del interesado
Todos los usuarios de la UE de los que recopila información personal tienen varios derechos, también conocidos como «derechos del interesado». Por ejemplo, el derecho de acceso especificado en el artículo 15 del RGPD otorga información detallada sobre fines de procesamiento, posibles destinatarios, período de almacenamiento y origen. Además, los usuarios tienen el derecho de rectificar los datos personales de conformidad con el Artículo 16 GDPR y, bajo ciertas condiciones, el derecho de eliminar los datos personales de conformidad con el Artículo 17 GDPR.
Muestra de referencia a los derechos del interesado.
Según el RGPD, se lo considera un sujeto de datos si es un visitante de la UE a nuestro sitio web y procesamos los datos personales que le conciernen. Por este motivo, puede hacer uso de varios derechos de sujeto de datos que se establecen en el Reglamento general de protección de datos. Estos son el derecho de acceso a la información (artículo 15 del RGPD), el derecho de borrado (artículo 18 del RGPD), el derecho de oposición (artículo 21 del RGPD), el derecho de presentar una queja ante una autoridad supervisora (artículo 77 del RGPD) y el derecho a la portabilidad de datos (artículo 20 del RGPD).
Aclaración de las obligaciones legales o contractuales para recopilar datos
En la medida en que la provisión de datos personales sea requerida por ley o contrato o sea indispensable para completar un contrato, debe informar a sus usuarios en consecuencia. También es necesario que proporcione información sobre las consecuencias de no proporcionar dicha información.
Muestra de clarificación de las obligaciones de recopilación de datos.
La recopilación de sus datos personales es indispensable para completar un contrato, así como para cumplir con las obligaciones y servicios contractuales. Si no nos proporciona la información solicitada, ni una conclusión exitosa de un contrato, ni otros servicios contractuales son posibles.
Información sobre el uso de la toma de decisiones automatizada (incluida la elaboración de perfiles)
Si utiliza la toma de decisiones automatizada, incluida la creación de perfiles, debe proporcionar información significativa sobre la lógica subyacente. Es esencial que identifique el impacto deseado y el alcance de este tipo de procesamiento de datos en el interesado. El trasfondo es que, en principio, sus usuarios tienen el derecho de «no estar sujetos a una decisión basada exclusivamente en el procesamiento automatizado, incluida la elaboración de perfiles», como se establece en el artículo 22 del RGPD. Sin embargo, este derecho no se aplica si el respectivo procedimiento automatizado es necesario para concluir o llevar a cabo el contrato, está permitido por la legislación de la UE y los Estados miembros o se lleva a cabo con el consentimiento expreso de la persona interesada.
Ejemplo de referencia para la toma de decisiones automatizada o la elaboración de perfiles en su sitio web.
Antes de concluir su contrato, realizaremos una evaluación crediticia totalmente automatizada para determinar su solvencia crediticia…
Detalles de contacto del representante
Las mejores prácticas requieren que su política de privacidad tenga información de contacto disponible en caso de que un cliente tenga una consulta sobre la política o sus datos. Las políticas de privacidad pueden incluir el nombre, la dirección postal, la dirección de correo electrónico o el número de teléfono del representante de la política de privacidad. Aquí hay una muestra de cómo se verá el párrafo relevante en su declaración de privacidad:
Datos de contacto de muestra:
Nombre de la (s) persona (s) responsable (s)
1562 Main St
Eureka CA
95502
Tel: (número de teléfono)
Correo electrónico: sample@email.com
¿Mi empresa web necesita protección de datos oficial?
El GDPR estipula que si su negocio trata con clientes en la UE (incluido el Reino Unido), ya sea para transacciones comerciales o procesamiento de datos, deberá cumplir con los requisitos de su Oficial de Protección de Datos (DPO). El trabajo del Oficial de Protección de Datos es salvaguardar la información personal recopilada a través de transacciones con clientes de la UE. Esto incluye cualquier información confidencial que pueda ir desde información de tarjeta de crédito hasta algo que pueda ayudarlo a identificar el origen étnico, ubicación, religión, orientación sexual de una persona, etc.
El GDPR estipula que todas las autoridades públicas y las empresas privadas que participan en el procesamiento de datos regular a gran escala de los residentes de la UE cumplen con estas regulaciones. Si no está seguro de si su empresa cumple con esta descripción, el mejor curso de acción es buscar asesoría legal ya que las repercusiones por no cumplir podrían ser graves. Puede encontrar más información sobre los oficiales de procesamiento de datos aquí.
Si necesita contratar un DPO, debe incluir su información de contacto en la política de privacidad de su sitio web.
Aquí hay una muestra de cómo se vería su información de contacto en su política de privacidad:
El oficial de protección de datos de esta empresa es:
Nombre de la (s) persona (s) responsable (s)
1562 Main St
Eureka CA
95502
Tel: (número de teléfono)
Correo electrónico: sample@email.com
Muchas soluciones gratuitas en línea brindan asistencia para generar políticas de privacidad para sitios web como la solución de Rocket Lawyer. Las plantillas existentes están disponibles, y es fácil encontrar una que sea adecuada para sus necesidades con una simple búsqueda en Google. Las muestras pre-escritas son otra opción. Estos incluyen información valiosa sobre la protección de los datos del usuario y se pueden aplicar a las redes sociales, cookies o boletines. Esto brinda a los usuarios la ventaja adicional de recibir declaraciones de protección de datos de Google Analytics u otras herramientas de análisis. Estos se entregan en formularios completos e incluyen enlaces para usuarios que se oponen a que sus datos sean entregados a terceros.
Además de las muchas plantillas disponibles, algunos sitios web también ofrecen generadores de políticas de privacidad gratuitos, que reúnen textos de muestra para producir una declaración final. El resultado generalmente se da como un código HTML.
Las plantillas y los generadores facilitan la redacción de una política de privacidad adecuada para su sitio web. Sin embargo, es importante tener cuidado y garantizar que los resultados sean relevantes. Las muestras pueden proporcionar una excelente base para su declaración, aunque a menudo hay detalles que deben modificarse o elaborarse. Si no está seguro de si su política de privacidad es correcta, es aconsejable buscar el asesoramiento de un experto legal.
GDPR: un resumen de los puntos más importantes
El nuevo Reglamento general de protección de datos hace que la protección de datos en los países de la UE sea más transparente, comprensible y segura. La necesidad de una declaración de privacidad completa y completa está en el corazón de esto, especialmente para los operadores de sitios web que tienen que lidiar con grandes cantidades de datos personales. Si ya ha redactado una declaración de privacidad anteriormente, habrá apreciado la divulgación de sus bases legales y la referencia a los derechos de los usuarios.
Por supuesto, estos dos aspectos no son las únicas cosas que distinguen las declaraciones de protección de datos revisadas o recién creadas que siguen el estándar GDPR de las versiones anteriores. Ahora, más que nunca, tiene la responsabilidad de explicar el propósito del procesamiento de datos de una manera detallada e integral que no deje preguntas abiertas para sus usuarios. Sin embargo, si sus usuarios tienen preguntas, usted o su DPO deben estar disponibles para responderlas. El GDPR enfatiza que los usuarios deben ser informados lo antes posible, siempre antes de que se recopilen los datos.
Si su sitio web trata con visitantes de la UE, es importante asegurarse de que cubra las regulaciones GDPR. Sin embargo, asegúrese de no descuidar las leyes estatales y federales locales. Siempre y en toda circunstancia, consulte a un profesional legal. Sepa que sus políticas son legalmente impermeables para las zonas con las que interactúa. Si esto se infringe, aunque sea de forma accidental, podría incurrir en sanciones legales.
