Entradas

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa

Viene siendo una actuación que se repite y lo cierto es que aunque se pueda pensar en que no tiene sentido no atender los requerimientos que te hagan para evitar una sanción, sencillos por otra parte, algunos siguen no atendiéndolos y por tanto terminan sancionados.

La denuncia: Instalar una cámara de videovigilancia en la ventana de una vivienda pudiendo captar la vía pública y propiedades de terceros

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Image courtesy of nipitphand at FreeDigitalPhotos.net

Sobre este tema ya hemos hablado en nuestro artículo de julio de 2013: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€ y nuevamente nos encontramos un caso similar en la que un particular instala una cámara de videovigilancia que según la resolución de la Agencia Española de Protección de Datos (AEPD) se aprecia en las fotografías que acompañan la denuncia, la cámara está instalada en la ventana de la vivienda denunciada y orientada hacia el exterior, pudiendo captar por su altura y ángulo de orientación la vía pública y propiedades de terceros.

La denunciada no formula alegación alguna en el plazo que la AEPD establece y una vez acreditados los hechos, es decir, presunta infracción del artículo 6.1 de la LOPD que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

¿Pero, en qué consiste la figura del apercibimiento?

Recodemos que la figura del apercibimiento (BOE 55, 5-3-2011 Disposición final quincuagésima sexta) supuso una “gran noticia” para los infractores en materia LOPD, ya que aunque incumplan la LOPD pueden evitar ser sancionados, salvo que se trate de una infracción muy grave o si ya hubiesen sido sancionados o apercibidos con anterioridad.

En definitiva, que sólo tienes que acreditar la adopción de las medidas correctoras que la AEPD determine, aunque hayas incumplido la normativa.

¿Qué requisitos debe cumplir un sistema de videovigilancia según establece la LOPD?

  1. Respetar el principio de proporcionalidad.
  2. Si el sistema está conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada 
  3. No captar imágenes de las personas que se encuentren fuera del espacio privado (en lugares públicos sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado)
  4. Cumplir con el deber de informar a los afectados (Instrucción 1/2006, de la AEPD, sobre el Tratamiento de Datos Personales con Fines de Vigilancia a través de Sistemas de Cámaras o Videocámaras), concretamente:
    • Colocar, en las zonas video vigiladas, al menos un distintivo informativo (cartel de aviso) ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
    • tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD

¿Qué señala la AEPD en su resolución?

De manera literal, la sentencia indica que “La denunciada tiene instalado un sistema de videovigilancia con una videocámara orientada hacia el exterior de la vivienda donde está instalada […], no consta que dicha responsable tenga legitimación para el tratamiento de estas imágenes, realizando por tanto un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos”.

No obstante la AEPD, que es muy benévola, acuerda apercibir al tener en cuenta que “no consta vinculación de su actividad con la realización de tratamientos de datos de carácter personal, ni que existan beneficios obtenidos como consecuencia de la comisión de la infracción” instándola a que en el plazo de un mes:

  1. Cumpla lo previsto en el artículo 6.1 de la LOPD, es decir, a que justifique la retirada de la cámara, o bien su reubicación o reorientación para que ni se oriente ni capte espacio público.
  2. E informe a la AEPD del cumplimiento del requerimiento, acreditando la adopción de dichas medidas, por medio de fotografías que evidencien la retirada de la cámara o fotografías que muestren lo que capta la cámara una vez se haya reubicado o reorientado.

La denunciada no contestó a las solicitudes y finalmente ha sido sancionada con 1.000€ (enlace a la resolución)

La AEPD envía 2 escritos al domicilio de la denunciada con acuse de recibo, que no son atendidos y finalmente la denunciada ha sido sancionada con una multa de 1.000€ por la infracción del artículo 37.1.f) de la LOPD que señala que “son funciones de la Agencia de Protección de Datos: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.

En definitiva, y como conclusión, repetimos que: si la AEPD te apercibe, atiende su solicitud o prepárate para la multa.

Si tienes una web y vendes online, que sepas que inspecciones “haylas”

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

En este 2016, en Andalucía se está realizando por los Servicios de Consumo  una campaña de inspección y control del cumplimiento de los requisitos legales en la información de contratación a distancia a través de páginas web.

Una campaña en definitiva que está dirigida a comprobar, a través del análisis e inspección de las páginas Webs, el grado de cumplimiento de la legalidad vigente en materia de consumo.

Si haces Ecommerce, mejor asegúrate de cumplir con la normativa. Si no cumples, ya sabes donde estamos para ayudarte.

En este enlace puedes obtener más información, y en este otro descargar el formulario con las cuestiones que en la inspección se están revisando

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción

Solicita cancelar sus datos, pero siguen enviándole publicidad. Resultado: 1.400€ sanción | Eurovima Consulting S.L.

Delete Button For Erasing Or Deleting Trash by Stuart Miles in FreeDigitalPhotos.net

Aunque sobre este tema ya hemos hablado en algún que otro post, queremos hacer hincapié en la utilidad de cumplir nuestros propios protocolos, no sólo por la sanción que nos puedan imponer, sobretodo por no manchar nuestra imagen de marca o negocio.

No atender convenientemente el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición) al tratamiento de los datos personales de un cliente o usuario, es uno de los motivos más recurrentes de sanción en el ámbito de la LSSI (Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD)

Normalmente las entidades que han realizado un proyecto de adecuación normativo, habrán establecido un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que habrá notificado a todo su personal con el fin de atenderlos convenientemente, de lo contrario el proyecto de adecuación normativo a la LOPD no ha sido ni completo ni riguroso.

La eterna lucha contra el SPAM

Recordemos que se denomina “spam” a todo tipo de comunicación no solicitada que se realiza por vía electrónica y que se lleva a cabo mediante el envío de correos electrónicos comerciales, SMS o por medios de comunicación electrónica equivalentes.

Como el coste es mínimo y se trata de envíos que se realizan de manera sencilla y ágil, esta práctica se ha extendido entre aquellas empresas que prefieren arriesgarse y lograr una publicidad efectiva antes que legal y respetuosa con sus clientes y los que pudieran llegar a serlo.

El SPAM se considera grave cuando se realiza de forma masiva, abusiva e indiscriminada según se establece en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, modificado por el Real Decreto-Ley 13/2012, de 30 de marzo.

En definitiva, cualquier envío de comunicación con publicidad por medios de comunicación electrónica estarán supeditados a que exista un consentimiento previo, específico, inequívoco e informado, salvo relación contractual anterior y que no se indique voluntad en contra – Comunicaciones electrónicas no deseadas: motivo recurrente de sanción.

La AEPD resuelve que queda acreditado el envío de 3 correos publicitarios una vez manifestó su oposición.

La AEPD acredita en su resolución que el denunciante solicitó en 2 ocasiones la petición del cese en el envío de información comercial, señalando respecto al envío de los 3 correos electrónicos publicitarios lo siguiente:

“[…] No contaba con el consentimiento previo y expreso de la denunciante, toda vez que se enviaron con posterioridad a que éste hubiera manifestado su oposición a la recepción de envíos publicitarios. Por ello, los 3 correos electrónicos enviados […] incumplían la prohibición de remitir comunicaciones comerciales no autorizadas o solicitadas establecida en el artículo 21.1 de la LSSI, ya que se trataba de envíos publicitarios no consentidos por su destinatario, quien había manifestado a la citada entidad su voluntad de no continuar recibiendo publicidad circunstancia perfectamente conocida por dicha entidad”.

Respecto a la culpabilidad de conducta de la imputada, la AEPD señala que:

[…] Le era exigible otra conducta diferente de la que observó, habida cuenta que no adoptó todas las precauciones necesarias en orden a asegurarse que los procedimientos instaurados para tramitar las bajas en el envío de comunicaciones publicitarias funcionaban correcta y efectivamente, considerándose que el argumento de la buena fe resulta insuficiente en atención a la diligencia que le resulta exigible como empresa habituada a la remisión de envíos publicitarios por medios de comunicación electrónica, debiendo, por tanto, velar por el cumplimiento de los derechos de los destinatarios de tales mensajes recogidos en la LSSI, causa por la que debió actuar con más prudencia para justificar la legalidad de su conducta.”

La sanción no fue mayor, ya que la AEPD valoró como circunstancias atenuante la ausencia de intencionalidad, o que hubieses ocasionado perjuicios relevantes al denunciante o generado beneficios a la empresa imputada como resultado de los envíos.

La importancia de cumplir con nuestros procedimientos de respuesta y actuación ante el ejercicio de derechos ARCO

Aunque en la resolución podemos ver que aunque la entidad denunciada manifestó que: disponemos de protocolo interno de atención a cualquier solicitud ARCO referenciada al email […] o por correo ordinario, con personas responsables y sistemas de comunicación. En esta ocasión y debido a que la empresa en esas fechas estaba inmersa en cambios estructurales se ha demorado en el tiempo proceder a la cancelación de los datos solicitada por la denunciante. Entienden que ha habido una demora en el tiempo de ejecución de la mencionada cancelación.”

En definitiva, aunque la entidad manifestó su error al no atender la petición, alegando estar en un momento de cambios internos, no le valió para librarse de la sanción, por eso insistimos a nuestros clientes que si han realizado un proyecto de adecuación normativo riguroso, y por tanto han implementado un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que presten especial atención a los mismos al igual que con la gestión de las suscripciones a los boletines o newsletter,

Seguir los procedimientos que hemos implementado y se encontrarán recogidos en nuestro documento de seguridad es vital para cumplir tanto la LOPD como de la LSSI y de paso trasmitir una imagen de garantías a nuestros clientes y a los potenciales a los que nos queremos acercar.

Puedes encontrar más información acerca de los derechos ARCO en este artículo que tenemos publicado: Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción | Eurovima Consultin S..L.

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción

Comunicaciones electrónicas no deseadas: motivo recurrente de sanción | Eurovima Consultin S..L.

Computer And Envelop
Photo by ddpavumba in Freedigitalphotos.net

La necesidad de desarrollar acciones económicas de bajo coste ha condenado a muchas empresas y profesionales a pagar un coste muy superior: el de una sanción.

El envío de correos electrónicos comerciales, SMS, WhatsApp, mensajería privada en redes sociales es un recurso sencillo, ágil y muy económico para las empresas, que ha propiciado y extendido la práctica del spam.

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica.

De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

El costo del Spam

La comisión europea y la AEPD (Agencia Española De Protección de Datos) llevan años abordando la cuestión de spam y diseñando campañas para luchar contra una práctica que contamina y genera pérdidas millonarias a las empresas, en productividad, malware y pérdida de confianza de los consumidores.

Pero  hay también otro motivo sustancial: constituye una intrusión en tu intimidad y una vulneración de derechos contemplados en la LSSI-CE y la LOPD.

El envío de comunicaciones comerciales no solicitadas o expresamente autorizadas es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española.

La AEPD tiene la competencia para sancionar la comisión de estas infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la LSSI, según dispone el artículo 43.1 de dicha Ley. II

El artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, señala lo siguiente:

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección”.

El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

El consentimiento; la clave de las comunicaciones electrónicas

Entre los derechos fundamentales que asisten a los ciudadanos está el de la autodeterminación informativa, es decir, decidir la facultad de toda persona para ejercer control sobre la información personal que le concierne.

Aquí es donde el consentimiento adquiere especial relevancia, porque es la manifestación de voluntad del propio ciudadano sobre la información que le concierne. Derecho que toda empresa o profesional debe respetar antes de utilizar su información con fines comerciales.

Para el consentimiento sea válido, debe tener estas características:

  • Ser previo
  • Ser específico
  • Ser inequívoco
  • Ser informado

El deber de información

Para obtener un consentimiento válido, es imprescindible que vaya precedido por información clara y precisa que permitan al destinatario conocer todas las vicisitudes en el manejo de su información personal.

Esta información deberá ser plena y exacta acerca del sector de actividad del que puede recibir publicidad, con advertencia sobre el derecho a denegar o retirar el consentimiento.

Como evitar sanciones por comunicaciones comerciales no solicitadas

La legislación no admite dudas al respecto: toda comunicación comercial para que sea legal, debe ser consentida o expresamente autorizada por el destinatario.

Por lo tanto, las normas a seguir para evitar sanciones  serían las siguientes:

  • No enviar e-mails de contenido publicitario a aquellas personas que no lo han solicitado, ni autorizado ni consentido expresamente a menos que destinatario y remitente estén vinculados por una relación contractual previa , en cuyo caso, las comunicaciones comerciales deben referirse solo a los productos y/o servicios de la empresa del remitente, similares a los que inicialmente fueron objeto de contratación;
  • Que se le ofrezca al destinatario la posibilidad de darse de baja respeto de la recepción de e-mails publicitarios mediante un procedimiento sencillo, fácil y gratuito (como un enlace con la palabra BAJA)
  • Establecer un sistema que permita obtener el consentimiento expreso, válido y legal del destinatario, como un formulario de suscripción.
  • Informar siempre de forma clara la identidad del remitente, la finalidad de la información capturada y los derechos de los destinatarios sobre la misma.
  • Nunca enviar  e-mails de contenido comercial en los que se oculte o no se especifique claramente la identidad de la organización que lo envía

LSSI: Sanciones

Desatender cualquiera de estas normas es exponerse a una sanción por  infracción del artículo 21 de la LSSI, en los términos indicados por el citado artículo 38.4.d).

Normalmente,  se califica como infracción leve, a menos que:

  • Se produzca un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios
  • El envío insistente o sistemático a un mismo destinatario, en los términos que se indican en el también citado artículo 38.3.b)

En esos casos se trataría de una infracción de carácter grave a los efectos de la LSSI.

La cuantía de las sanciones que se impongan se graduará atendiendo a los siguientes criterios:

  1. La existencia de intencionalidad
  2. Plazo de tiempo durante el que se haya venido cometiendo la infracción
  3. La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme.
  4. La naturaleza y cuantía de los perjuicios causados.
  5. Los beneficios obtenidos por la infracción.
  6. Volumen de facturación a que afecte la infracción cometida.
  7. La adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en el artículo 18 o en la disposición final octava y que haya sido informado favorablemente por el órgano u órganos competentes.

Sin duda, otro factor decisivo a la hora de estimar el monto de la sanción será el grado de diligencia manifestaba por el infractor para evitar, prevenir o subsanar ese error.

La falta de diligencia opera como agravante

Si una empresa o profesional no ha desarrollado las medidas y controles necesarios para evitar que un cliente reciba comunicaciones comerciales tras revocar su consentimiento previo tendrá un problema mucho mayor.

Una muestra de diligencia clara consiste en poder demostrar por ejemplo, la existencia de mecanismos de control oportunos para gestionar las bajas, sistemas de información al destinatario, herramientas para obtención de consentimiento, etc.

Por eso es imprescindible la presencia de un profesional que desarrolle, implante y acredite en adecuado cumplimiento normativo respecto a comunicaciones comerciales y evite los daños económicos y reputaciones que origina una denuncia.

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

Sexy Target Stock Photo – Photo by Salvatore Vuono. in FreeDigitalPhotos.net

Vamos cerrando el 2014, que en líneas generales consideramos que ha sido un buen año, aunque tampoco podemos decir que haya sido como para recordar.

Un año en el que hemos asistido a la compra de WhatsApp por Facebook, al adiós de Windows XP o al ataque a Sony y los ciberataques masivos, al estancamiento de las Google Glass y al despegue de todo tipo de App´s, de la impresora 3D y de los Wearables, a la incertidumbre del Bitcoin o al año en el que la UE respaldó el derecho al olvido y hace a Google responsable del tratamiento de datos personales.

Los menores hablan en un idioma distinto al de los padres

Son nativos digitales enseñados por inmigrantes digitales y por tanto hablan idiomas distintos. En todo caso, aunque parezca que no, creemos que ha sido un buen año en cuanto a los avances en materia de prevención e información hacia los menores en materia de privacidad y seguridad, aunque el ciberacoso en cualquiera de sus modalidades, aumenta en la medida en que la mensajería instantánea y las Redes Sociales se apoderan de parte de sus vidas y por ello hay que perseverar en ello.

La cuestión es que de en todos esos acontecimientos citados hay un denominador común, la privacidad y la seguridad en un mundo/mercado cada vez más global y online, en el que parece que hemos avanzado poco a nivel de regulación, cuando menos la española/europea, y que en lo que hemos tratado de avanzar, ni siquiera está claro.

La Unión Europea sigue sin aprobar el nuevo marco regulatorio en materia de protección de datos

Desde el punto de vista de la privacidad, ha sido un año convulso marcado principalmente por los coletazos del “viejo” tema del espionaje NSA-SNODWEN, en el que hemos visto como ni siquiera ese terremoto ha acelerado el proceso final que haga que tengamos en la Unión Europea un nuevo marco regulatorio y sigamos con nuestra “vieja-local” LOPD.

Nos espían, lo asumimos y casi aceptamos, pues no somos capaces de ponernos de acuerdo para regularlo.

Otro gran acontecimiento ha sido la reforma de la Ley de Propiedad Intelectual, cuyo “éxito” se resume en que su tramitación ha sido accidentada, aprobada sin consenso y sin tener claro el uso y en qué manera va a afectar, no a los presuntos delincuentes contra los que pretende regular, sino al resto de usuarios de Internet.

La defensa de los derechos de autor se ha mezclado con la llamada “Tasa Google” o “canon AEDE”, ha terminado con el cierre de Google News, una herramienta que al final ayudaba a los propios editores a generar tráfico a sus páginas web.

Sobre los “piratas”, aquellos que serán perseguidos por facilitar enlaces a contenidos no autorizados, generando un “daño”, veremos la manera en que se identificará a los usuarios por la vía civil.

Esta es nuestra visión resumida del 2014. Desde EUROVIMA os seguiremos informando de estas y otras cuestiones que sean de actualidad e interés, en el ámbito que engloba la tecnología, la privacidad y la seguridad.

Aprovechamos para desearos un gran año.

Agencia Española de Protección de Datos | Eurovima Consulting S.L.

LOPD, MEMORIA AEPD: Las Sanciones en 2013 suben un 6% hasta 22,3 millones€

El pasado día 13 de octubre de 2014, la Agencia Española de Protección de Datos (AEPD) publicó su memoria anual, en la que se recogen las actuaciones más significativas, entre otras las relativas a las sanciones impuestas.

Pocos aspectos llaman la atención, para aquellos que venimos siguiendo la actividad diaria de la Agencia, pues la línea de actuación se mantiene, si bien a modo de resumen destacaremos algunos aspectos.

 

Mayor sensibilidad de ciudadanos y Organizaciones:

El conocimiento y la importancia que tanto ciudadanos como organizaciones manifiestan por el cumplimiento normativo sigue en aumento, cuestión que se refleja en el incremento de:

  • El número de consultas realizadas (en el que las relativas a la cesión de datos son las más realizadas).
  • Los Ficheros inscritos,
  • La solicitud de informes
  • Consolidación en el nº de denuncias y reclamaciones presentadas por los ciudadanos (por ejemplo, la demanda sobre la cancelación de datos de los ciudadanos ha crecido un 8%).
  • Se ha consolidado las reclamaciones sobre el llamado “derecho al olvido en Internet”, si bien, será en este 2014 cuando las cifras van a ser particularmente elevadas.

 

Las multas: cuantías, gravedad, normativa infringida y sectores más sancionados

Hay un dato muy curioso, y es que si bien el número de denuncias baja un 1,7%, la cuantía de las mismas sube el 6% y eso que en más del 80% de los casos, la AEPD aplicó los criterios de moderación y atenuación de sanciones previsto en la LOPD, aunque sí es cierto, que en el procedimiento contra Google se declararon 3 infracciones por una sanción de 900.000€ en total.

Según la gravedad, el 90,85% han sido infracciones leves, el 9,15% graves y no han existido infracciones muy graves.

Según la Ley infringida, el 93,9% de las infracciones corresponden a la LOPD, el 5,8% a la LSSI y apenas el 0,3% a la LGT.

Sectores más sancionados: Las denuncias siguen afectando en mayor medida a las empresas de los mismos sectores que en años anteriores, si bien se producen algunas variaciones que señalamos:

  1. Telecomunicaciones (15 millones€). Lo que supone un 67% del total frente al 73% del total en 2012
  2. Empresas del sector de suministro y comercialización de agua y energía (2,1 millones€). Sube hasta el 9% frente al 6% del 2012. Pasa de la tercera a la segunda posición.
  3. Entidades Financieras (1,8 millones€) Baja hasta el 8% desde el 13,5% del año 2012.

 

Otros datos de interés: Videovigilancia, apercibimiento y Administraciones Públicas

Destacar también el número de denuncias presentadas sobre la videovigilancia con 918 actuaciones de investigación (el 11,7% del total) que acapara el 60% de los procedimientos de apercibimiento.

Significativa es también el caso de las Administraciones Públicas, con un incremento del 52,6% en el número de infracciones declaradas, cuyo incremento es especialmente significativo en el ámbito Autonómico.

 Puede consultar la memoria completa en este enlace

Presentacion EUROVIMA_Desayuno AEGAMA_2_abril_2014

LSSICE y LOPD: Que debo saber si tengo una página web

Presentacion EUROVIMA_Desayuno AEGAMA_2_abril_2014Este miércoles día 2 de abril, organizamos un desayuno de trabajo en AEGAMA, Asociación de Empresarios Gallegos en Madrid, calle Orense 10, de 9:30 a 11 h. al que os invitamos (gratuito previa inscripción).

El objetivo es informar a todos aquellos que tienen una página web, aunque sea solo presencial, sobre la normativa que les afecta, es decir:

  1. Sobre Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).
  2. Como afecta desde el punto de vista de aplicación de la LOPD (protección de datos personales)

Explicaremos cómo adecuar tu página web en función de la actividad que desarrolles y también si haces comercio electrónico.

Animaros y animar a quién tenga pensado crear su página web o ya la tenga pero no adecuada a la normativa.

Se trata de un evento gratuito pero las plazas son limitadas.

Mas información en el 91 446 79 62 y 91 556 23 79.

Gracias.

 


En Protección de Datos, asumir la culpabilidad y alegar un error no indulta la sanción de AEPD (1.200€)

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Hace poco, en concreto en diciembre de 2013, escribíamos un artículo titulado: “Si un Cliente es baja de tu newsletter, no le envíes más correo. Sanción de la AEPD y hoy nuevamente volvemos a escribir para incidir en una situación muy similar, que concluyó con una sanción de 1.200€ de la Agencia Española de Protección de Datos (AEPD).

Hablamos de la enésima sanción de la AEPD por el envío de correos comerciales no solicitados, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica).

En este caso, queremos resaltar que por una parte el denunciado reconoció su culpabilidad y por otra los argumentos que el denunciado alegó para tratar de librarse de la multa. Pero antes de entrar a valorarlos, vayamos por partes.

La denuncia:

Nos encontramos ante el “típico” caso de una persona que recibió un par de correos electrónicos (comunicación comercial) de una empresa de la que nunca había sido cliente ni había mantenido contacto alguno, a la que posteriormente les notificó mediante un email que le diesen de baja de su base de datos e indicasen cuando les había autorizado para recibir su publicidad.

Según la denunciante, no obtuvo respuesta y siguió recibiendo sus emails (hay que recordar que la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas).

La Agencia solicita información a la entidad, señalando que la dirección IP desde la que se enviaron los correos, estuvo asignada esos días y a esas horas a la denunciada (verificando lo indicado en la denuncia).

Las alegaciones de la Entidad denunciada:

Como respuesta a la solicitud de información del inspector de la AEPD, la empresa denunciada remitió un escrito en el que manifestaron, entre otras cuestiones, lo siguiente:

  • Que la dirección de correo electrónico de la denunciante se incluyó por error de un miembro de su personal en dos correos informativos que remiten frecuentemente a antiguos clientes, clientes que les solicitan información y empresas con las que tienen una relación habitual.
  • El origen del dato de la dirección de correo electrónico es una consulta realizada en Internet, aunque no disponen de acreditación del consentimiento prestado por el reclamante para la remisión de correos comerciales.
  • No han recibido solicitud alguna del reclamante solicitando el ejercicio de derechos ARCO.

Posteriormente la AEPD inició procedimiento sancionador por la presunta infracción del artículo 21 de la LSSI, tipificada como leve (cuya sanción puede llegar a los 30.000€), a la que la denunciada presentó alegaciones, reiterando y reconociendo que “por error de un miembro de nuestro personal la dirección de correo electrónico a la que se hace referencia se incluyó en dos de los correos informativos que remitimos frecuentemente a antiguos clientes, clientes que nos solicitan información …“  y que “ha existido un error puntual en el proceso de tratamiento de la información y rogamos tengan en consideración que no se ha actuado en ningún caso de mala fe. Así mismo esta empresa aumentará sus esfuerzos por controlar las actuaciones de nuestro personal en el cumplimiento de la normativa.…”.

Una vez la entidad denunciada reconoce los hechos, la agencia resuelve y le sanciona con 1.200€, aplicando una disminución en la cuantía de la sanción:

Al haber reconocido los hechos y la responsabilidad derivada,  y en aplicación del artículo 8.1 del Real Decreto 1398/93 que señala que “Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda”, la Agencia resuelve desestimar su alegato sobre que “obtuvo la dirección de correo destinataria de la red internet….de una fuente accesible al público (la página web de la denunciante)”, ya que la AEPD considera que “ni tenía la autorización previa y expresa y tampoco una relación comercial previa y por tanto ha resultado probado que el denunciado envío dos comunicaciones comerciales por medios electrónicos incumpliendo lo dispuesto en el art. 21.1 de la LSSI”.

No obstante, la Agencia aplica los criterios de graduación de las sanciones ante la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos por la entidad denunciada imponiendo una sanción de 1.200 €.

En definitiva, asumir el error ha servido para que la Agencia simplificase el procedimiento, pero no para considerar las alegaciones de que se trató de un “error” cometido por un empleado o que tuviese legitimidad para el envío por el simple hecho de  que el origen del dato de la dirección de correo electrónico fuese una consulta realizada en Internet.

Una vez más, queremos recordar a nuestros lectores y Clientes, ser muy cuidadosos con la gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos). Hay que seguir los procedimientos previstos y recogidos en el documento de seguridad y sobre todo, que es mejor una consulta previa a nuestro servicio de asesoría para valorar las implicaciones normativas tanto de la LOPD como de la LSSI, respecto a cualquier acción o campaña de marketing que suponga una comunicación comercial.

 

Enlace a la Resolución de la AEPD: PS-00598-2013

 

NEWS Enero/2014. El 28 de enero, como cada año se celebra el día de la Protección de Datos en Europa

Cada año se celebra en esta fecha el día de la Protección de Datos en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

EUROVIMA se suma a la difusión de este día en apoyo de la Protección de Datos, reiterándoles que como siempre, si necesitan cualquier información sobre el tema o tienen cualquier duda, que somos expertos en materia de Protección de Datos, privacidad, adecuación de páginas web a la LSSI, comercio electrónico y que nuestro departamento de Asesoría LOPDLSSI está disponible para Usted.

Pueden encontrar más información en la página web de la Agencia Española de Protección de Datos

ProtegetusdatosG

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr