Protección de datos: Resumen y conclusiones de 6ª Sesión Anual Abierta de la AEPD

/0 Comentarios/en /por

El pasado viernes 14 de marzo de 2014, en el marco incomparable del Teatro Real de Madrid, se ha celebrado la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD) con un aforo completo, como cada año, de unos 1.200 profesionales de la privacidad y la protección de datos.

La cita suele servir para escuchar de la propia AEPD los aspectos más relevantes que se han producido en el último año y que nos den su opinión sobre dichas cuestiones, por otra parte también esperamos que nos cuenten o adelanten alguna novedad, aunque la verdad es que hemos salido algo defraudados pues las novedades han sido escasas y lo expuesto ha sido una mera y rápida puesta en escena de la memoria que cada año publica la AEPD.

Abrió la jornada el Director de la AEPD, D. José L. Rodríguez Álvarez, de cuya intervención resaltamos:

  1. Que no se aprobará el Reglamento Europeo, cuando el año pasado el mensaje fue que “había voluntad política para que antes de que finalice la presente legislatura europea se aprobase”.
  2. Que la información personal adquiere cada vez un mayor valor económico por sí misma.
  3. El aumento en la desconfianza en el desarrollo de la actividad económica digital y la privacidad por los acontecimientos del último año solo pueden ser reparados con más garantías. El Director señaló que en principio la Agencia no tiene competencias, aunque han participado en las solicitudes de información presentada por el Grupo de trabajo del Artículo 29.
  4. Creación de una guía de evaluación de impacto (PIA), que califica como una metodología madura, si bien solicitan nuestra colaboración para completar su contenido.
  5. Que el internet de las cosas, Drones y Big Data son los 3 grandes retos venideros en privacidad.
  6. Sobre las Cookies, que hay 16 procedimientos abiertos de los 28 iniciados y habrá un nuevo régimen sancionador que incluirá el apercibimiento.

Del resto de exposiciones, además de los merecidos premios en materia de privacidad y de que en 7-8 meses solo se haya notificado una brecha de seguridad, de manera resumida destacamos lo siguiente:

COOKIES.- Además de desgranar la única sanción publicada, apenas se aportaron datos nuevos salvo:

  1. Que de momento solo se sanciona la falta de información.
  2. Que la agilidad a la hora de subsanar errores es tenida en cuenta por la Agencia.
  3. Se confirma el nuevo régimen sancionador.

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.- Que si bien hay avances, pues ya ha pasado por distintos trámites parlamentarios, el que se retrase es un secreto a voces, y el espionaje masivo aireado (que no descubierto) seguro que tiene mucho que ver como “causa-efecto” en la brecha de la desconfianza generada. 

PIAs.- Se anunció una guía para las evaluaciones de impacto en materia de privacidad, identificando y evaluando riesgos desde el inicio, es decir, desde el diseño. La intención es dar respuestas al qué/cómo/quién, con el respaldo de la dirección y con la participación de perfiles mixtos y actores internos/externos. Se partirá de un documento de mínimos que se completará con las aportaciones de la consulta pública.

INFORMES Y SENTENCIAS RELEVANTES.- Destacar el incremento en el número de informes y la detallada exposición de las sanciones a Google y sus expresiones condicionales del tipo: “podremos; podrá; es posible” incluidas en su política de privacidad. Además, la Agencia ha constatado que Gmail filtra correos y ficheros anexos para enviar publicidad.

CONSULTAS.- Aunque habrá que verlas en detalle cuando sean publicadas en la web de la Agencia, destacar que si publicas un video en tu perfil de una red social que al ejecutarse lleve a un tercero que instale cookies, deberás obtener el consentimiento informado para dicha instalación.


NUESTRAS CONCLUSIONES:

En un mundo TIC en constate evolución, el legislador se mueve muy lento y demasiado presionado, de manera que cuando llegue el ansiado Reglamento Europeo, este ya habrá quedado desfasado.

Con las COOKIES y la sanción a Google nos encontramos en el “día de la marmota”, una extensa exposición de algo de sobra conocido. No obstante, destacar sobre las cookies la consulta mencionada sobre la publicación de un video en red social ejecutado en plataforma de un tercero, que como diría el Maestro Luis Aragonés (si cambiamos la palabra ganar) la frase sería: “Informar, informar y volver a informar”.

Que estamos ante una guía de evaluación de impacto (PIA) versión 0.1, esperando que no se convierta en un mero informe interno más de la empresa, un informe que se moldee para que no se parezca mucho a la guía, y se guarde para mostrar ante una posible inspección. Como curiosidad, nos preguntamos si las aportaciones de la consulta pública tendrán el mismo eco publicitario sobre aquellas personas/organizaciones que hagan aportaciones significativas, como ya ha ocurrido con otras guías.

Sobre lo señalado en la exposición de las funciones de la SEDE ELECTRÓNICA de la Agencia, llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis” ya que la Agencia en su página web pone a disposición toda la información y el material necesario para hacerlo. Que la intención de la Agencia siempre ha sido la de conjugar proximidad/accesibilidad con gratuidad, pero como dice el anuncio: para todo lo demás; EUROVIMA CONSULTING, o cualquiera de los profesionales en materia de asesoría de protección de datos (LOPD) que nos hemos citado en Madrid, o los repartidos por España.

PD.- No queriendo dar ideas, esperemos que siga siendo gratis, sobre todo sin aplicar tasas a las denuncias ante la AEPD.

En Protección de Datos, asumir la culpabilidad y alegar un error no indulta la sanción de AEPD (1.200€)

/2 Comentarios/en /por
photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Hace poco, en concreto en diciembre de 2013, escribíamos un artículo titulado: «Si un Cliente es baja de tu newsletter, no le envíes más correo. Sanción de la AEPD« y hoy nuevamente volvemos a escribir para incidir en una situación muy similar, que concluyó con una sanción de 1.200€ de la Agencia Española de Protección de Datos (AEPD).

Hablamos de la enésima sanción de la AEPD por el envío de correos comerciales no solicitados, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica).

En este caso, queremos resaltar que por una parte el denunciado reconoció su culpabilidad y por otra los argumentos que el denunciado alegó para tratar de librarse de la multa. Pero antes de entrar a valorarlos, vayamos por partes.

La denuncia:

Nos encontramos ante el “típico” caso de una persona que recibió un par de correos electrónicos (comunicación comercial) de una empresa de la que nunca había sido cliente ni había mantenido contacto alguno, a la que posteriormente les notificó mediante un email que le diesen de baja de su base de datos e indicasen cuando les había autorizado para recibir su publicidad.

Según la denunciante, no obtuvo respuesta y siguió recibiendo sus emails (hay que recordar que la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas).

La Agencia solicita información a la entidad, señalando que la dirección IP desde la que se enviaron los correos, estuvo asignada esos días y a esas horas a la denunciada (verificando lo indicado en la denuncia).

Las alegaciones de la Entidad denunciada:

Como respuesta a la solicitud de información del inspector de la AEPD, la empresa denunciada remitió un escrito en el que manifestaron, entre otras cuestiones, lo siguiente:

  • Que la dirección de correo electrónico de la denunciante se incluyó por error de un miembro de su personal en dos correos informativos que remiten frecuentemente a antiguos clientes, clientes que les solicitan información y empresas con las que tienen una relación habitual.
  • El origen del dato de la dirección de correo electrónico es una consulta realizada en Internet, aunque no disponen de acreditación del consentimiento prestado por el reclamante para la remisión de correos comerciales.
  • No han recibido solicitud alguna del reclamante solicitando el ejercicio de derechos ARCO.

Posteriormente la AEPD inició procedimiento sancionador por la presunta infracción del artículo 21 de la LSSI, tipificada como leve (cuya sanción puede llegar a los 30.000€), a la que la denunciada presentó alegaciones, reiterando y reconociendo que “por error de un miembro de nuestro personal la dirección de correo electrónico a la que se hace referencia se incluyó en dos de los correos informativos que remitimos frecuentemente a antiguos clientes, clientes que nos solicitan información …“  y que “ha existido un error puntual en el proceso de tratamiento de la información y rogamos tengan en consideración que no se ha actuado en ningún caso de mala fe. Así mismo esta empresa aumentará sus esfuerzos por controlar las actuaciones de nuestro personal en el cumplimiento de la normativa.…”.

Una vez la entidad denunciada reconoce los hechos, la agencia resuelve y le sanciona con 1.200€, aplicando una disminución en la cuantía de la sanción:

Al haber reconocido los hechos y la responsabilidad derivada,  y en aplicación del artículo 8.1 del Real Decreto 1398/93 que señala que “Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda”, la Agencia resuelve desestimar su alegato sobre que “obtuvo la dirección de correo destinataria de la red internet….de una fuente accesible al público (la página web de la denunciante)”, ya que la AEPD considera que “ni tenía la autorización previa y expresa y tampoco una relación comercial previa y por tanto ha resultado probado que el denunciado envío dos comunicaciones comerciales por medios electrónicos incumpliendo lo dispuesto en el art. 21.1 de la LSSI”.

No obstante, la Agencia aplica los criterios de graduación de las sanciones ante la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos por la entidad denunciada imponiendo una sanción de 1.200 €.

En definitiva, asumir el error ha servido para que la Agencia simplificase el procedimiento, pero no para considerar las alegaciones de que se trató de un “error” cometido por un empleado o que tuviese legitimidad para el envío por el simple hecho de  que el origen del dato de la dirección de correo electrónico fuese una consulta realizada en Internet.

Una vez más, queremos recordar a nuestros lectores y Clientes, ser muy cuidadosos con la gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos). Hay que seguir los procedimientos previstos y recogidos en el documento de seguridad y sobre todo, que es mejor una consulta previa a nuestro servicio de asesoría para valorar las implicaciones normativas tanto de la LOPD como de la LSSI, respecto a cualquier acción o campaña de marketing que suponga una comunicación comercial.

 

Enlace a la Resolución de la AEPD: PS-00598-2013

 

La AEPD sanciona con 6.000€ a aseguradora por revelar datos del consorte al cónyuge

/0 Comentarios/en /por

Antes de entrar a comentar la resolución de la AEPD (PS-00424-2013) que concluyó con una sanción de 6.000€, nos haremos la siguiente pregunta: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Los hechos que motivaron la denuncia ante la AEPD

Una pareja casada, presentó sendas reclamaciones, cada uno por su lado, ante la compañía aseguradora con la que tenían contratado un plan de pensiones porque ésta no les informaba sobre la rentabilidad de los mismos. Se da la circunstancia que cada uno de ellos tenía como asegurado y como beneficiario al otro. Finalmente la aseguradora respondió a cada uno de ellos por separado, pero informando en cada una de las comunicaciones sobre la rentabilidad de los dos planes tal y como señala la resolución “no solo la información relativa a su Plan, sino también la relativa al Plan de su cónyuge”.

Esta acción que en principio pudiera parecer lógica, tiene una compleja y variada fundamentación legal.

Si repasamos el Código Civil, en su artículo 71 indica que ninguno de los cónyuges puede atribuirse la representación del otro sin que le hubiere sido conferida. Sin embargo y para el régimen económico matrimonial de la sociedad de gananciales, situación económica  en la que se encuentran gran mayoría de los Españoles, el artículo 1.375 indica que en defecto de pacto en capitulaciones, la gestión y disposiciones de los bienes gananciales corresponde conjuntamente a los cónyuges. Esto implica que un Cónyuge podría solicitar datos del otro siempre que los mismos puedan incluirse dentro de la administración de bienes gananciales, y con finalidad de gestionar los mismos. Pero es que además la misma norma en su artículo 1.346, apartado 5, indica que los bienes y derechos patrimoniales inherentes a la persona y los no transmisibles inter vivos se consideran bienes privativos.

Desde la perspectiva de la LOPD, ¿cuál ha sido el incumplimiento?.

En el artículo 10, la LOPD obliga al responsable del fichero a guardar secreto sobre los datos de los clientes que se están tratando y que el responsable del fichero (la empresa denunciada) o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos.

Además el artículo 9 obliga al responsable del fichero a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El incumplimiento lo encontramos claramente reflejado en la resolución: “Por tanto, no ha actuado con la diligencia debida al no comprobar correctamente los datos y documentos remitidos a cada uno de los denunciantes, por lo que debe considerarse que ha vulnerado el artículo 10 de la LOPD”, “al enviar a cada uno de los denunciantes carta en la que constaba no solo el nombre y apellidos del cónyuge, sino también el Certificado de Pago de Primas y la Información Trimestral de Plan de Previsión Asegurado contratado por cada uno de ellos, información que había sido solicitada individualizadamente por cada uno de ellos en reclamación de 29/08/2012, sin que hubiese obtenido el consentimiento o autorización de los denunciantes para la revelación de los mismos, conculcando el deber de secreto recogido en el citado artículo 10 de la LOPD, por lo que su actuación ha de ser merecedora de sanción.

Resolvamos la pregunta planteada al inicio: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Atendiendo a las normas mencionadas, la respuesta es NO.

Con respecto a la legislación civil, el fundamento legal es que se trata de un derecho inherente a la persona, no transmisible inter vivos, del que no se tiene representación, por resultar un derecho privativo, y por tanto no entra dentro del régimen económico matrimonial de gananciales.

Con respecto a la LOPD, la sanción impuesta por la AEPD a la aseguradora, ha sido por el incumplimiento del mencionado deber de secreto, no obstante la Agencia ha considerado la peculiaridad del caso, aplicando una graduación (disminución) en la sanción, que finalmente ascendió a 6.000€, una vez valorados los criterios de graduación de las sanciones que la LOPD contempla, tanto favorables como adversos, que en este caso han sido los siguientes:

  1. Adverso.- La resolución señala que se “trata de una gran compañía aseguradora por cuota de mercado; todo ello, en vez de atenuar su responsabilidad, le impone un mayor deber de diligencia en su actuación”.
  2. Favorable.- Por otra parte la AEPD entiende que “concurre en el presente caso una cualificada disminución de la culpabilidad de la compañía aseguradora, pues si bien incluyó en la comunicación dirigida a cada uno de los denunciantes información del Plan del respectivo cónyuge, información que era absolutamente prescindible; sin embargo, los citados denunciantes son cónyuges, la reclamación de los mismos ante la oficina de Algeciras se realiza simultáneamente en la misma fecha, su contenido es prácticamente idéntico, tienen la misma dirección y son beneficiarios de los respectivos Planes”.

En conclusión podemos responder a la pregunta inicial y asegurar que sí que pueden existir secretillos en el matrimonio y que la próxima vez atiendas con mayor rapidez las solicitudes de información de tus clientes, o de lo contrario aprovecharán cualquier «error» para «ajustar» cuentas.

Como siempre, estaremos encantados de recibir vuestras opiniones.

 

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

/0 Comentarios/en /por

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr

¿Pueden las comunidades de vecinos publicar morosos en su tablón de anuncios?

/2 Comentarios/en /por
www.freedigitalphotos.net

www.freedigitalphotos.net

Por mucho que se empeñen las comunidades de vecinos en sus recursos ante la Agencia Española de Protección de Datos (AEPD), no hay justificación alguna que les ampare para publicar datos de sus vecinos morosos en el tablón de anuncios de la comunidad salvo que puedan acreditar que ha existido de manera previa intentos de notificación al deudor y por tanto dejando constancia de no quedarle otra opción.

Este aspecto queda reflejado en que de los 16 Recursos de Reposición sobre Procedimientos de Apercibimiento publicados por la AEPD con fecha de resolución en 2013, cinco de ellos fueron motivados por este  incumplimiento y los 5 recursos fueron desestimados.

El deber de secreto y la cesión de datos

La AEPD en sus resoluciones de apercibimiento consideró el incumplimiento del artículo 10 de la LOPD por parte de las comunidades de propietarios, que establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Recordemos que, la finalidad del artículo 10 es la del deber de guardar secreto, y por tanto evitar que se realicen filtraciones de los datos no consentidas por sus titulares, siendo ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a la que se refiera dicha información.

Por ello, su publicación supone una cesión de datos de carácter personal según establece la LOPD en su artículo 3 (toda revelación de datos realizada a una persona distinta del interesado) si bien el artículo 11 establece que será posible la cesión inconsentida de los datos en caso de que la misma se encuentre amparada o fundamentada en lo establecido por una norma con rango de ley (artículo. 11.2 a LOPD), en este caso recurriendo al amparo de las obligaciones impuestas por la Ley de propiedad Horizontal (LPH).

¿Cómo debe actuar la Comunidad?

El artículo 16.2 de la LPH en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios, permite dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de las deudas. No obstante para hacerlo público en un tablón de anuncios (bajo llave) será obligatorio acreditar los intentos previos que no han logrado la notificación al deudor y dejar constancia de no existir otra alternativa posible.

Además, hemos de tener presente que dicha publicación ha de cumplir con una serie de requisitos formales adicionales y que como máximo permanezca publicada sólo durante el tiempo estrictamente necesario para que produzca plenos efectos jurídicos, es decir, los tres días naturales que establece el artículo 9.h de la LPH.

En los 5 casos desestimados por la AEPD se ha dado la circunstancia de no haber acreditado la imposibilidad de notificar por medios alternativos dicha deuda, considerando la AEPD en todos los procedimientos que el tablón de anuncios de la Comunidad es susceptible por su ubicación, del acceso público de terceras personas ajenas a la Comunidad de propietarios, como personas alquiladas o visitas de cualquier tipo y por tanto incumple el deber de secreto.

Cuando se habla de la conveniencia de que las comunidades de vecinos realicen las actuaciones que tengan que ver con el tratamiento de datos de carácter personal de sus vecinos y el cumplimiento de la LOPD, no solo se trata de aplicar el sentido común, hemos también de aplicar la normativa en la materia.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría.

Enlace a los procedimientos:

¿Cómo devolver una compra realizada en internet; el derecho de desistimiento?

/0 Comentarios/en /por
Internet Shopping by renjith krishnan in www.freedigitalphotos.net

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

En estos días en los que con la llegada de Nochebuena y Reyes, hay una frenética carrera por llegar a tiempo con las compras y en un momento en el que cada vez los consumidores optamos más por hacerlas por internet (e-commerce) conviene recordar algunas cuestiones importantes que como consumidores o vendedores tenemos que tener presentes.

Todo ello en un momento en el que múltiples y recientes encuestas señalan que el número de consumidores vía internet sería mayor si las garantía de seguridad en el pago, la claridad en las condiciones de compra y la protección de sus datos personales, fuese mayor.

La importancia de las “condiciones de compra”

Por eso hoy queremos comentaros uno de estos aspectos; la claridad en las condiciones de compra, que en España establece y regula la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI) sin olvidarnos de otras normativas de aplicación como la ley General para la Defensa de los Consumidores y Usuarios (modificación en trámite parlamentario) la LOPD o la Ley de Ordenación del Comercio Minorista.

Entre otras obligaciones previas y posteriores a la contratación, hay que recordar que la LSSI establece el deber de información sobre los datos identificativos del negocio, las condiciones de uso, del precio final del producto, es decir, si el precio incluye impuestos, cuales son los gatos de envío, etc.

Respecto a las condiciones generales de compra o contratación electrónica, estas han de incluirse en la página web y han de ser muy claras,  y cuando menos han de informarnos sobre:

  1. Lenguas en las que el contrato se podrá formalizar.
  2. Vigencia de las condiciones de compra
  3. Responsabilidad del Clientes y el Vendedor
  4. Precios, formas de pago y envío.
  5. Aceptación de la compra.
  6. Derecho de desistimiento, consistente en la devolución del producto comprado sin necesidad de justificar su decisión sin penalización, en un plazo determinado.
  7. Archivo del Contrato: si se va a archivar y si será accesible.
  8. Confirmar la aceptación de la compra mediante un acuse de recibo (correo electrónico)
  9. Legislación aplicable y jurisdicción. Lugar de celebración del contrato.

Pero, ¿que sucede cuando recibimos nuestro producto, comprado online y no nos satisface o se ajusta a las expectativas que motivaron nuestra decisión de compra?

De manera resumida, tenemos que tener muy presente a la hora de conocer nuestros derechos para devolver cualquier compra realizada por internet lo siguiente:

  • Actualmente en España el derecho de desistimiento establece que el plazo legal de devolución es de 7 días, ampliable de manera automática a 90 días en el caso en el que el vendedor no hubiese informado al consumidor sobre su derecho de devolución.
  • El plazo de devolución se inicia cuando se recibe el producto, debiendo el vendedor reembolsar el importe como máximo en 30 días.
  • Los gastos de envío derivados de una devolución tendrán que estar claramente identificados en las condiciones de compra o de lo contrario, será el vendedor quien correrá con dichos gastos.
  • No existirá ningún contrato entre el comprador y vendedor hasta que el pedido haya sido expresamente aceptado por ambos. Si la oferta no es aceptada y se hubiese cargado algún pago, ha de ser devuelto en su totalidad.
  • En algunos casos, no se podrá ejercitar el derecho de desistimiento como, por ejemplo, si es un producto personalizado, o se trata de bienes que por su naturaleza, no puedan ser devueltos o puedan deteriorarse o caducar con rapidez. Otros productos como grabaciones sonoras, de vídeo, de discos y programas informáticos, prensa diaria, publicaciones periódicas, servicios de apuestas y loterías tampoco darán lugar al derecho de desistimiento.

En todo caso, hay que recordar que el pasado 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modificará el texto refundido de la Ley General para la Defensa de los Derechos de los Consumidores y Usuarios y otras leyes complementarias en materia de contratación a distancia, que pretende adaptar la norma española a la Directiva Europea sobre Derechos de los Consumidores, reforzando la seguridad jurídica de la venta por comercio electrónico, que por ejemplo prevé que el plazo de ejercicio del derecho de desistimiento se amplíe a 14 días.

Os informaremos de las nuevas reglas o las modificaciones que se produzcan en la contratación electrónica y telefónica, una vez que entren en vigor. Hasta entonces si tenéis alguna duda sobre cualquier cuestión relacionada con el comercio electrónico, sabéis que nuestro servicio de Asesoría LOPD y LSSI está a vuestra disposición. Ahh, y felices compras¡¡

Para saber más os dejamos un enlace de un informe publicado por INTECO:

INTECO-CERT: Informe «Adecuación a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico»

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD

/2 Comentarios/en /por
Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Some Flying Envelopes – By renjith krishnan in www.freedigitalphotos.net

Cuántas veces escuchamos aquello de que recibimos correos comerciales que no hemos solicitado, ni sabemos de dónde han obtenido nuestros datos, vamos, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica). Pues muchas, pero al final muy pocas personas se deciden a denunciar. La cuestión es que si se denuncia, la Agencia Española de Protección de Datos (AEPD) actúa, analizando lo sucedido y sancionando cuando, como en el caso que nos ocupa, se incumple la normativa.

Este ha sido el caso de una persona que recibió un correo electrónico (comunicación comercial) de una empresa a la que si bien había comprado un producto en su día, decidió posteriormente que no quería recibir información comercial de dicha empresa y se dio de baja en la suscripción del newsletter al objeto precisamente de no recibir más correos electrónicos o comunicaciones comerciales de dicha empresa, llegando el denunciante a recibir un correo que confirmaba haber procesado su petición y que sus datos de contacto quedaba excluidos de la lista de clientes que admitían e-mail.

Posteriormente recibió un nuevo correo electrónico con contenido comercial, denunciándolo ante la AEPD, quien en su resolución de 21-11-2013, señala que “Spames cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

Como la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, finalmente la AEPD impuso una sanción de 600 € por infracción de dicho artículo.

La cuantía de la sanción fue baja, ya que si bien pudo llegar a ser de hasta 30.001€, la AEPD concluyó que:

  • Fuese considerada leve (al no tratarse de un envío masivo a distintos destinatarios, ni más de tres envíos al denunciante).
  • Le fuesen aplicados los criterios de graduación de las sanciones recogidos en el artículo 40, y en este caso por la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos.

Como habitualmente indicamos a nuestros clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos) y seguir los procedimientos que tenemos implementados y recogidos en nuestro documento de seguridad y sobre todo, que antes de hacer cualquier campaña de marketing que suponga una comunicación comercial nos consultéis previamente, que nuestro servicio de asesoría está a vuestra disposición para señalaros las implicaciones normativas tanto de la LOPD como de la LSSI y la manera de gestionarlo de forma correcta y segura.

Reflexiones sobre la jornada “cómo ejercer la patria potestad en internet" | Eurovima Consulting | Asesoría LOPD Madrid

Reflexiones sobre la jornada: Cómo ejercer la patria potestad en Internet

/0 Comentarios/en /por

Será coincidencia o no, pero la pasada semana los menores han estado muy presentes en nuestra actividad, por una parte se celebró el Día Universal del Niño, por otra hemos publicado el post Don Psico en: Un caso de adicción a las nuevas tecnologías en el que también los menores eran los protagonistas, y además asistimos a una jornada muy interesante celebrada en Madrid, excelentemente organizada por Orange y la Asociación Profesional Española de la Privacidad (APEP) con el título: “Cómo ejercer la patria potestad en Internet«.

Reflexiones sobre la jornada “cómo ejercer la patria potestad en internet" | Eurovima Consulting | Asesoría LOPD Madrid

Beautiful Girl Hiding Her Face With Touch By stockimages in Freedigitalphotos.net

Es sobre el evento de lo que os queremos hablar, haciendo un breve resumen acompañado de algunas pequeñas reflexiones que hemos sacado de una jornada que congregó a expertos nacionales e internacionales tanto del ámbito público, como privado, que resultó muy instructiva aunque generase inquietantes reflexiones a los asistentes, no sólo como profesionales sino como padres y educadores.

Estamos en un momento en el que las nuevas tecnologías llegan cada vez de manera más temprana a los menores, los llamados “nativos digitales”, mientras los educadores, padres y formadores, en la mayoría de los casos, no tenemos capacidad de obtener las respuestas, ni sabemos cómo dotarles de las herramientas que les permitan afrontar su uso con las garantías necesarias, ni ofrecerles los mecanismos de defensa adecuados ante los peligros que conllevan.

Es lo que se conoce como “brecha generacional” o “brecha digital” en el ámbito del uso de las nuevas tecnologías.

Las nuevas tecnologías suscitan infinidad de preguntas con la particularidad de que los padres deben decidir qué papel han de jugar ellos, y la manera en la que han de intervenir desde el minuto cero, es decir, desde el momento en que decidimos que las usen.

La cuestión es, que muy probablemente las usen antes de que nos demos cuenta o incluso antes de lo que nosotros quisiéramos. Si los 10 años es la edad de inicio de acceso a Internet, es evidente que a esa edad los niños tienen todavía una gran «inmadurez«.

Las distintas intervenciones y las preguntas de los asistentes giraron en torno a cuestiones que al final plantearon debates como:

  • ¿A qué edad deben tener acceso los menores a esas nuevas tecnologías?
  • ¿Debe el ámbito educativo actuar para formar a los “nativos digitales”? ¿Debería existir formación específica?
  • ¿Qué se le debe de exigir a la industria? ¿Cómo conjugamos las leyes nacionales frente a las internacionales y los elementos que marcan la competitividad? ¿Cómo certificar las edades de acceso a las redes sociales?
  • ¿Cómo modulamos la privacidad del menor? ¿Qué espacio de privacidad debemos concederles? ¿A partir de qué momento-edad?
  • Si en cuestiones de tecnologías, redes sociales, etc., un menor sabe más que el adulto, ¿a quién se va a dirigir si probablemente no va a saber responderle? Y sobre todo, ¿qué pasa cuando … “todo falla”?.

En definitiva, son tantas cuestiones que merecen un ámbito específico de análisis cada una, por eso únicamente podemos dejaros algunas de las conclusiones que hemos obtenido de manera general y que os hacemos llegar:

La edad de inicio

Lo importante es que cuando se inicie, lo haga acompañado y a ser posible desde el principio, pues a los 13-14 años muy probablemente no querrán que les acompañemos.

Dónde

Si el inicio del acceso del menor a las nuevas tecnologías, Internet, redes sociales,…, es desde casa y en concreto desde los dispositivos de los padres (de los que el 90% conocen sus contraseñas de acceso), será en casa donde deban encontrar ayuda y enseñanza, que ha de continuar en la escuela y por supuesto en la universidad.

Cómo

Hemos de incidir en que aprecien su intimidad y respeten la ajena. También resaltar un comentario de Toñi Quiñones (vocal de la Asociación Espiral, Educación y Tecnología) en el que reflexionaba sobre si por ejemplo para sacarnos el carnet de conducir vamos previamente a una autoescuela, porqué no hacemos lo mismo para iniciarnos en “Internet”, adquiriendo igualmente un aprendizaje previo.

Qué

De la misma manera, se insistió en la necesidad de explicarles los conceptos por los que nos preocupamos de ellos, pues no saben ni conocen el significado de los mismos. A los más pequeños hay que explicarles lo más elemental, desde que es un acoso. A otros que es el sexting, el ciberbullying, etc. pero además, también habrá que explicarles que pueden estar cometiendo un delito, pues hay falta de conciencia en ese sentido y la falsa creencia de impunidad, pues “como soy un menor, no me pasará nada”. Debemos explicarles que la responsabilidad existe, distinta a la del adulto, pero existe.

Los recursos y las herramientas

Para que las usen en caso de necesidad, pues probablemente no se atrevan a contárnoslo pero sí sabrán que pueden acudir a esa web en donde contar su problema o que usen el botón de denuncia/pánico. Hemos de usar los sistemas de control parental.

Implicación/Participación

Escasa de los padres en los talleres y sesiones que se realizan. Nos preocupa que se descarguen aplicaciones sin permiso, pero sobre todo si cuestan dinero.

Vida Real vs On line

Si en la vida real no compartimos con extraños, ni contamos cosas sobre nuestros gustos, aficiones, etc, ¿no deberíamos hacer lo mismo en la vida on line?

Finalmente dejaros un dato curioso:

Si pudiésemos considerar a Facebook como un país, por su número de seguidores, sería el tercer país del mundo en la actualidad y debe ser por eso que tiene sus propias leyes, que criticadas o no, son aceptadas o de lo contrario “estás fuera”.

Por eso queremos suscitar debate y conocer vuestras opiniones sobre todas estas cuestiones que en el evento se trataron y como de costumbre si necesitáis de nuestros servicios de asesoría en materia de privacidad (LOPD), estamos a vuestra disposición.

 

 

LUISITO - Un caso de adicción a las nuevas tecnologías - Don Psico

Don Psico en: Un caso de adicción a las nuevas tecnologías

/0 Comentarios/en /por

Entrada escrita y publicada por Julián Illán, en su blog Don Psico

LUISITO - Un caso de adicción a las nuevas tecnologías - Don Psico

Imagen original de Don Psico. donpsico.es

 

La “adicción” tecnológica es ya una realidad hoy en día. Pero hoy voy a hablar de la tecnología y los niños como Luisito. Los niños como Luisito nacen en un mundo plenamente tecnológico y son muchos los que hacen un uso inadecuado de Internet o de las consolas. Otros niños, en cambio, usan más adecuadamente las nuevas tecnologías: juegan a las consolas y están conectados a Internet un tiempo moderado. Los padres tienen, como siempre, un papel fundamental en la enseñanza de qué es lo adecuado para sus hijos.

En primer lugar, ¿cuáles son los síntomas que nos pueden alertar sobre la “adicción” de los niños a las nuevas tecnologías?

  1. El niño cada vez necesita más tiempo de conexión y más visitas a distintas páginas de Internet para obtener el mismo disfrute que obtenía al principio.
  2. El niño se siente mal si se interrumpe o se limita su conexión a Internet o a la consola.
  3. Conflictos en casa por usar el ordenador o consola (cuando los padres han intentado limitar su uso)
  4. Piensan en conectarse a la red constantemente.
  5. Incumplen horarios o las tareas que tengan asignadas en casa.
  6. Se aíslan socialmente ( les apetece menos jugar con sus amigos).
  7. Privación de horas de sueño a cambio de tiempo de conexión.
  8. Rendimiento escolar bajo.
  9. Todo el tiempo de ocio gira alrededor de las nuevas tecnologías.

Si comprobamos que el niño puede tener algún problema de adicción con la tecnología, y antes de que empeore, podemos:

  1. Limitar el tiempo de uso: Podemos hacer que el uso de consolas o internet vaya seguido de la realización de sus tareas de casa o deberes del colegio. Reforzaremos también sus contactos sociales y ejercicio físico.
  2. No se utilizará su habitación como lugar de conexión a Internet, y en todo caso, siempre con la puerta de la habitación abierta. Mejor utilizar el salón o el lugar donde habitualmente estén los padres, como lugar de conexión.
  3. Supervisión por parte de los padres de los contenidos a los que acceden los niños.
  4. Diálogo, como en todo tipo de cuestiones, padres-hijo, sobre un uso seguro de Internet.
  5. Instalación de programas de protección (aunque con una buena supervisión de los padres puede ser suficiente)
  6. Que los padres sirvan de ejemplo (hay padres que están todo el día pendiente del smartphone y de los emails, y esto lo hacen delante de sus hijos). Además existen padres que utilizan la consola, la televisión o Internet como niñeras de sus hijos ( “si los niños están tranquilos, no les molestemos”).

[pullquote]¡No llores Luisito y vete a jugar un rato con tus amigos![/pullquote]

Partimos de la base que el uso de las nuevas tecnologías por parte de los niños no se puede, ni se debe, prohibir y por tanto no nos podemos plantear “la abstinencia total a la tecnología”. Lo que si podemos hacer es enseñar y dar ejemplo a los niños de un uso adecuado de Internet, móvil, consolas, etc.

 

Escrito por Julián Illán

Psicólogo Colegiado M-26738

www.donpsico.es

 

Fallo de seguridad de acceso a Banca On-line supone una sanción de 6.000€ a ING de la AEPD | Eurovima Consulting | Asesoría LOPD Madrid

Fallo de seguridad de acceso a banca on-line supone una sancion de 6.000€ a ING de la AEPD

/1 Comentario/en /por

Es evidente que siempre van a existir fallos en los sistemas de seguridad, por mucho que nos empeñemos en poner todos los medios y medidas de seguridad de índole técnica y organizativas a disposición del negocio y por ende de los datos de carácter personalde los que somos responsables.

No obstante es muy importante una vez que se producen, tratar de solucionarlos de manera ágil, analizando lo sucedido y tomando las medidas correctoras adecuadas para que no se vuelvan a repetir.

Algo así es lo que le ha sucedió a una entidad bancaria que ha sido sancionada  (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) a raíz de la denuncia presentada por dos particulares en julio de 2012, en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Los hechos fueron reconocidos por la entidad durante la inspección

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, que fue escalada a los responsables correspondientes siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada.

Los representantes de la entidad entregaron a los inspectores de la Agencia la impresión del registro de la incidencia, que incluía un informe descriptivo de la misma, así como las acciones emprendidas por la entidad para su resolución y las mejoras de seguridad que fueron recomendadas.

Según el informe, la incidencia se produjo a raíz de una “subida a producción” de una nueva versión de la aplicación que da soporte al acceso de los clientes mediante el canal móvil y que en ningún caso hubo acceso a datos de contraseñas ni era posible la realización de operaciones bancarias ni de ningún tipo. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

Posteriormente el Director de la AEPD acordó el inicio de procedimiento sancionador por presunta infracción del artículo 9.1 LOPD, tipificada como grave en su artículo 44.3.h), pudiendo ser sancionada con multa de 40.001€ a 300.000€.

La entidad bancaria presentó alegaciones reconociendo de manera plena, voluntaria y espontánea los hechos, declarándose responsable y culpable del fallo de seguridad, acogiéndose a la aplicación del artículo 45.5, es decir, que le fuese de aplicación la escala relativa a las infracciones leves y en su grado mínimo, dadas las circunstancias concurrentes, vamos a una “rebaja”.

AEPD imputó la vulneración del principio de seguridad de datos personales (multa de 40.000€ a 300.000€)

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

[pullquote]La Agencia consideró aplicar el artículo 45.4, en base a la actuación de la entidad, siendo la sanción únicamente de 6.000€ [/pullquote]

La Agencia valoró los criterios, tanto favorables como adversos, de graduación de las sanciones e impuso una sanción de 6.000€, ya que consideró lo siguientes aspectos:

  • Favorables: “Cuando el infractor haya reconocido espontáneamente su culpabilidad”, por lo que es posible la aplicación de una sanción de “la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. Además, la entidad actuó de manera diligente al regularizar la situación creada de manera inmediata, poniendo remedio a fallo cometido tan pronto tuvo conocimiento de los hechos ocurridos, estableciendo contacto con los afectados y adoptando nuevas medidas de seguridad para evitar que el fallo pudiera repetirse.
  • Adversos: es evidente que en el desarrollo de la actividad empresarial que desempeña la entidad denunciada se ve obligada a un continuo tratamiento de datos personales tanto de sus clientes como de terceros, toda vez que se trata de una gran entidad financiera por cuota de mercado.

En definitiva, hemos de recordar que las medidas de seguridad no son infalibles y ante fallos en la seguridad hemos de actuar de manera ágil y contundente, realizando un buen análisis e implementando las medidas correctoras oportunas.

Los datos de carácter personal que nuestros clientes nos confían son lo suficientemente importantes como para revisar nuestras medidas de seguridad de manera recurrente. Como no tendremos el tamaño ni los recursos de una entidad bancaria, recordar que como consultoría y asesoría os ayudamos y asesoramos sobre cómo hacerlo.