Haz marketing pero consulta a tu asesoría protección de datos

Haz marketing, pero antes consulta a tu asesoría de protección de datos

/0 Comentarios/en /por

Está visto que algunos hacen cualquier cosa por captar datos de potenciales clientes, pero ya sabemos que en este mundo del marketing, no todo vale, como hemos podido comprobar en la resolución dictada el pasado 30 de septiembre de 2013, por la Agencia Española de Protección de Datos (AEPD) vista la denuncia presentada por un particular en diciembre de 2012, en la que denunciaba haber recibido dos correos electrónicos comerciales no deseados en el que se le solicitaban la aportación de datos personales de terceros, al menos 5 contactos, a cambio de recibir una participación en la lotería de Navidad.

La inspección confirma la veracidad de la denuncia.

La AEPD realiza una inspección a la entidad denunciada, verificando que tiene registrado un fichero de Clientes y que la campaña de marketing se hizo enviando correos a sus Clientes, con un enlace en el que debían cumplimentar los datos de captación solicitados de amistades/conocidos, en definitiva de terceros (nombre, apellidos, dirección correo electrónico y población), datos que posteriormente usarían para enviar correos electrónicos ofreciendo sus productos a esos nuevos «contactos».

Parece ser que la campaña no tuvo mucho éxito, apenas 47 registros, desistiendo la empresa en realizar finalmente la campaña, borrando los datos durante el proceso de inspección. La AEPD también comprobó que los correos electrónicos del denunciante figuraban en el fichero de clientes del denunciado, demostrando con una factura que contenía sus datos por una compra anterior.

Recordar que el artículo 6.1 de la LOPD señala que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La sentencia habla de doble incumplimiento, pero le aplica el apercibimiento.

Lo curioso de la sentencia, es que la AEPD señala que se producen dos incumplimientos, uno por el envío del correo electrónico cuya finalidad no era la adecuada a su relación como Cliente, es decir, ofrecer sus productos sino “como medio de captación de potenciales clientes a cambio de un beneficio (en este caso, un décimo de lotería)” y otro incumplimiento cuando “la entidad se nutre de una base de datos para envío de publicidad, ya que no tiene el consentimiento de estas personas para tener sus datos.”

La sentencia señala que ha quedado acreditado el tratamiento de los datos del denunciante y de los terceros que fueron incluidos en su base de datos, sin presentar prueba alguna que demuestre el consentimiento ni justificar que concurre alguna de las excepciones al artículo 6.1

En concreto, la AEPD,  con arreglo al artículo 45.6 (ley de economía sostenible) decide apercibir a la entidad, ya que se trata de una infracción grave, no había sido apercibido o sancionado hasta la fecha y al no haber obtenido beneficios de la misma, sin  exigir que la entidad denunciada adopte medida correctora alguna dada la infracción.

En definitiva, antes de hacer una campaña de marketing, consulta con tu asesoría en protección de datos

Habitualmente recalcamos a nuestros clientes, que antes de realizar cualquier tipo de campaña y por el medio que sea, nos consulten sobre la misma, ya que contar con la opinión de expertos en materia de marketing puede ser importante para alcanzar los objetivos perseguidos, pero hacerlo con expertos consultores en protección de datos nos evitará situaciones como la comentada o peores, bien en forma de sanción económica o afectando a nuestra imagen.

Protección de datos personales, nuevo paso para el reglamento Europeo

/en /por

Aunque todavía falta para tener un reglamento Europeo de protección de datos, lentamente se van dando pasos para que en algún momento sea realidad y podamos contar con estándares globales de privacidad. Las palabras de la principal valedora de este largo proceso, la comisaría de Justicia Viviane Reding, sobre que exista «un continente, una norma y una interpretación de esa norma» van tomando cuerpo.

Otra cuestión es que dicho cuerpo y la realidad que aporte llegue a tiempo, venga a tapar las carencias normativas existentes y vaya a gustar o no a los actores implicados que van desde los usuarios, los afectados, emprendedores, pequeños operadores a los gigantes de Internet.

Sobre esas cuestiones ya nos hemos manifestado en distintos post pero en cualquier caso esa realidad será más cercana que la que actualmente marca la directiva de la EU del año 1995, es decir, de la “prehistoria” de Internet, redes sociales, la “nube”, las compras “online” y en general de las nuevas tecnologías de la información, que en España rige nuestra LOPD y su Reglamento de desarrollo.

Un nuevo paso en un momento en el que la privacidad está en boca de todos

Este nuevo paso lo dio ayer, día 21 de octubre de 2013, el Parlamento Europeo al aprobar el texto (enlace al texto completo de los 91 artículos del Reglamento con las enmiendas votadas ayer) de la propuesta de Reglamento de Protección de Datos, cuya aprobación llega tras meses de negociación, numerosas enmiendas, presiones de los “lobby” de turno y a los que hay que sumar el Dictamen Preliminar del Abogado General del TJUE sobre el ejercicio de derechos frente a buscadores de Internet (derecho al olvido) o los escándalos NSA-PRISM-SNOWDEN cuyas informaciones publicadas en los últimos días sobre espionajes a Francia, México o España, ya casi ni llaman la atención.

Bajo la “agitada” situación descrita, el «LIBE», Comité del Parlamento Europeo de Libertades Civiles, Justicia y Asuntos de Interior ha logrado un acuerdo sobre el texto que ahora debe ser consensuado entre el Parlamento, el Consejo y la Comisión (se supone que antes de las elecciones europeas de mayo de 2014).

En un primer análisis del texto que debería llevarnos hacia la armonización y modernización, cabe destacar lo siguiente:

  • El «derecho al olvido» parece ser quedará como el «derecho al borrado de datos», pudiendo exigir que dicha solicitud se haga llegar a las entidades a las que se hayan cedido o replicado los datos.
  • Se aboga por el uso de «pseudónimos» cuando se trate información personal sensible; datos disociados.
  • Se contemplan sanciones cuya cuantía puede llegar hasta 100 millones de euros o el 5% del volumen de negocio anual, pudiendo reclamar una indemnización la persona que haya sufrido daños derivados del incumplimiento normativo.
  • Cualquier infracción ha de ser notificada al regulador «sin dilaciones indebidas», suprimiendo las 24 horas que se habían propuesto.
  • Se permite el tratamiento de datos si son necesarios para la satisfacción del interés legítimo del responsable del tratamiento, salvo cuando deban prevalecer los intereses o derechos fundamentales y libertades de los interesados
  • El consentimiento para el tratamiento de datos ha de ser explícito y no será válido en el momento en que la finalidad del tratamiento deja de existir, debiendo ser sencillo e inmediato retirar dicho consentimiento en cualquier momento.
  • Se amplía el ámbito territorial para casos en los que el tratamiento ni siquiera se produzca en la UE (nube) pero cuando el tratamiento se refiera a bienes o servicios ofrecidos a personas residentes de la UE.
  • Facebook o Google no podrán transferir a USA datos tratados en la UE si no cuentan con autorización de un supervisor nacional, debiendo informar al usuario afectado

Aún quedan pasos para el reglamento y veremos si llegan a tiempo

La figura de las Autoridades de Supervisión, del DPO, PIA, las certificaciones o fijar límites a los perfiles también han sido redefinidas. Esperemos al siguiente paso, al inicio de la ronda de negociaciones a tres bandas: Parlamento, Consejo y la Comisión, para ver el texto definitivo y todo ello con unos márgenes de tiempo ya ajustados, pues las elecciones europeas del próximo mayo marcan la línea para que tengamos nuevo reglamento o demos un paso a un lado esperando que otros pasen y se sumen al “baile”.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

/8 Comentarios/en /por

En primer lugar, queremos señalar que no entraremos en “moralinas”, aunque se hace difícil no hacerlo y por eso os pedimos vuestros comentarios y opiniones sobre este tema que la verdad es que no deja indiferente a quien lo haya conocido.

Hablamos de la reciente Sentencia de la Audiencia Nacional (AN) del 26 de septiembre de 2013

El origen de los hechos: Niño de 12 años enseña video de contenido sexual a compañera en el colegio.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

Teenagers Reading Sms Stock Photo By Ambro in Ffreedigitalphotos.net

En un colegio de Madrid, un alumno de 12 años, muestra con su teléfono movil a una compañera, un video de contenido sexual y la alumna “denuncia” los hechos ante el director del centro. El centro que ya había requisado el móvil del menor por tenerlo encendido en clase, ante la denuncia de la alumna llama al menor para verificar la misma.

Con la ayuda de una persona del centro del área de “informática”, acceden al teléfono solicitándole el numero PIN, no está claro si de manera “forzada” o voluntaria, revisando la navegación en Internet del día en cuestión verificando el acceso en ese día a dos páginas Web de contenido sexual.

De esta situación, no son informados los padres del menor y por tanto se hace sin el consentimiento de los mismos.

Las denuncias: Primero en el juzgado, después ante la AEPD y finalmente el recurso.

Una vez conocidos los hechos, el padre del menor los denunció en el Juzgado pero fue archivado, al igual que el recurso de apelación, ya que no se apreció la violación del derecho a la intimidad, privacidad y secreto de las comunicaciones, pese a que “De las pruebas practicadas en dichas diligencias penales se deprendería, como acreditado judicialmente, el acceso inconsentido a datos personales del menor por parte del director del centro y, en concreto, la revisión del archivo histórico de navegación por internet …” 

Viendo denegada su petición, los padres deciden denunciar estos mismos hechos ante la Agencia Española de Protección de Datos (AEPD), que denegó incoación de procedimiento, dando lugar a la presentación del recurso contencioso administrativo sobre cuyo fallo estamos comentando.

El padre del menor alegaba que se había vulnerado la intimidad del menor, que no había prestado su consentimiento (recordemos que son los padres, en el caso de menores de 14 años según el artículo 13 del reglamento LOPD) para la revisión del historial de navegación, alegando cesión de datos personales (navegación en Internet).

La resolución de la AEPD; dos las razones para archivar la denuncia

La Agencia dictó resolución de archivo al considerar que no es de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, es decir, quedarían fuera del ámbito la LOPD (lo considera actividad doméstica) aunque este argumento ha sido rechazado por el Tribunal.

La segunda razón que la Agencia señaló para el archivo fue que el acceso al terminal móvil estaría amparado por la Ley Orgánica 2/2006 de Educación, y las normas propias del centro educativo, es decir, que existirían normas específicas que habilitarían el acceso al citado móvil.

En lo referente al carácter domestico, hay varias resoluciones/informes de la propia AEPD, en los que se establecen criterios sobre esta cuestión al igual que la Directiva Europea, no obstante en el caso que nos ocupa el Tribunal ha manifestado que no se pueden considerar como tales y por tanto no le es aplicable la exclusión (bofetada a la AEPD).

Conclusiones a la sentencia

Una vez que la AN le da la razón al padre, en cuanto a que al ser un menor de 14 años debería de existir el consentimiento de sus padres para el acceso o tratamiento de sus datos, posteriormente se la deniega al señalar que en realidad hay que “conjugar el contexto real en que se produjo”, es decir, “en la protección de los derechos de esa niña o de otros menores del centro”, recurriendo a una frase que en el ámbito de la LOPD se usa mucho “el derecho a la protección de datos no es ilimitado…. puede quedar constreñido por la presencia de otros derechos en conflicto” y por tanto el auto habla de realizar una detallada ponderación de los mismos.

Vamos, que hay que ponderar el derecho del resto de compañeros, frente al derecho del menor acusado por el acceso a su móvil o dicho de una manera más simple ponderar el derecho del resto de compañeros frente las actuaciones realizadas por el colegio.

Además, la sentencia señala que resulta de aplicación que el tratamiento de datos sea necesario para el cumplimiento de una misión de interés público, y para la AN la actividad educativa «no solo puede calificarse de interés público sino de verdadero servicio público«.

En definitiva, que el director debe preservar en aras del servicio público que presta y al que ha sido encomendado, la protección de otros menores del centro escolar, amparado en satisfacer un interés legítimo o que la misión educativa del colegio prevalece sobre el derecho a la protección de datos.

Esta cuestión estamos seguros que algunos la consideraréis excesiva y “moralinas” aparte, nos gustaría que la valoraseis y para ello esperamos vuestros comentarios, dejando abierta algunas cuestiones, a la espera de si el padre recurre ante el Tribunal Supremo, como:

  • ¿Qué derecho debe prevalecer: el derecho del resto de compañeros o el del menor acusado por el acceso a su móvil?
  • ¿La misión educativa del colegio prevalece sobre el derecho a la intimidad de sus alumnos?
  • ¿El interés legítimo atribuido al centro es excesivo?
  • ¿Dónde ponemos los límites al interés legítimo?

Otros artículos sobre el tema:

Amedeo Maturo: El Director de Instituto: el Omnipotente.

Francisco Javier Sempere: Audiencia Nacional: acceso del Director de un centro educativo al móvil de un alumno.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies”

/0 Comentarios/en /por

Llevamos casi un mes, desde que Pablo Fernández Burgueño publicara un post,  hablando de cookies, sobre una “ley de cookies” que ni siquiera es tal, pero que a todos nos sirve para referirnos a la cuestión que ha suscitado un montón de artículos y opiniones en el tiempo transcurrido.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Foto tomada por Frédéric BISSON de Flickr

Todo ello motivado por el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa que no cumple lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSI o LSSICE y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo.

En cualquier caso, no se trata de desgranar dicho artículo ni rebuscar comparaciones con otras aplicaciones similares a este tema, como las que el Reino Unido realiza, pues para ello todos hemos leído muy buenos artículos en estos días, que son tantos que no tiene sentido enlazarlos.

Entre tanto, se encuentra en tramitación el Proyecto de la Ley General de Telecomunicaciones que afectará entre otros aspectos a algunas cuestiones que la Ley de Servicios de la Sociedad de la Información (LSSI) regula, incluidas las cookies y que de manera breve hemos ya señalado en nuestro post de hace una semana (Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones). 

La cuestión es que veremos una vez publicada, como quedará la misma, si bien es cierto que hay cuestiones que son interesantes como el hecho de crear la figura del apercibimiento, al igual que en la LOPD, pues suprimir la sanción “directa” y en su lugar apercibir al sujeto responsable para que adopte las medidas correctoras oportunas, genera algo de tranquilidad.

Después de leer y hablar mucho sobre este tema, muchos comentan: ¿qué hay detrás de la “Ley de Cookies”?

Volviendo al tema principal, hemos de reconocer que después de leer mucho y hablar, bien con gente de la calle como con expertos en la materia, tanto desde la perspectiva comercial, técnica y jurídica como desde el punto de vista del usuario/consumidor o de las empresas que hacen e-commerce y de los profesionales en la red, muchos han llegado a la misma y simple conclusión: ¿qué hay detrás de la “Ley de Cookies”?

Hubo quien lo comparó con la cerveza, ya que al que le gusta la cerveza de siempre, la sin, la 0,0 puede ser sustitutiva cuando no hay más remedio, pero para el que la quiera “con” la seguirá comprando aunque haya “ley seca”, aunque vistas las sanciones que les podrían caer, me temo que no se atreverán.

Si hubo coincidencia, en manifestar su incredulidad ante una normativa que consideran excesiva en cuanto a su aplicación, pues afecta a “grandes y pequeños”, como a que crea indefensión respecto a otros mercados/proveedores a los que no les aplica ninguna normativa tan estricta.

Ya hemos comentado en otros artículos que la privacidad que establece la normativa LOPD y LSSI enfocada en un mercado global hace que cuestiones “locales“ como esta, marquen el propio devenir de la privacidad, ya que se refleja en términos de COMPETITIVIDAD cobrando un papel demasiado importante, cuando se trata de perder o dejar de ganar dinero frente a competidores que tienen otras reglas. Volvemos a la cuestión ya planteada en otras ocasiones, es decir, sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Si hay quién se empadrona en alguna localidad por el mero hecho de ahorrase unos euros, que no haremos otros por optar a ganarlos de manera más sencilla o con menos dolores de cabeza.

Opiniones dispares y para todos los gustos

Otros opinan que cumplirla puede penalizar el SEO a día de hoy, otros que ni las propias Administraciones Públicas la cumplen, que las redes sociales como Facebook no pueden alojar páginas de empresa o que la publicidad compartamental estaría muerta y en último caso que se puede recurrir a la confianza legítima ante una sanción.

Hay otros que opinan, ya de una manera algo más privada, que se trata de algún cambalache-compadreo entre alguno que quiere aprovechar el contexto para ganarse unos euros mediante la venta de scripts o vaya usted a saber, pues tal y como estamos cualquier cosa se puede esperar.

Pero es que además, la calle opina que al Usuario en realidad esto le suena a chino y aceptará sin leer y comprender cualquier texto (legal o no) que le permita satisfacer su necesidad en la red, aunque eso sí, la sanción caerá sobre el españolito de a pié.

Nuestra opinión

La opinión de Eurovima, es una mezcla de todas ellas pero en cualquier caso lo que nos preocupa es conocer exactamente qué y cómo hacer para cumplirla, al menor coste posible para todos y cuanto antes mejor, pero teniendo claro que ello no puede suponer una perdida en confianza y competitividad, ya que no nos lo podemos permitir.

En cualquier caso, veremos cuando finalice la resolución, que es lo que ha opinado al respecto la Agencia, mientras continúa en el aire esa cuestión: ¿qué hay detrás de la “Ley de Cookies”?, de las que os pedimos vuestra opinión.

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD? - Eurovima Consulting

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD?

/1 Comentario/en /por

Queremos comentaros el reciente y curioso procedimiento sancionador PS/00213/2013, publicado por la Agencia Española de Protección de Datos (AEPD) cuya resolución ha sido sancionar a la entidad GALP, con una multa de 20.000€ por infracción del  artículo 6.1 de la LOPD relativo al “consentimiento del afectado”, tipificada como grave (multa de 40.001€ a 300.000€.).

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD? - Eurovima Consulting

Businessman Signing Document Stock Photo
By Naypong in www.freedigitalphotos.net

La denuncia es de un particular que dice recibió una carta de GALP comunicándole que había sido dada de alta en los suministros de luz y gas, todo ello sin su conocimiento ni consentimiento (ni de ninguno de sus familiares).

La AEPD solicitó información a GALP que manifestó tener datos de la denunciante, pues existió para el suministro de gas un contrato con fecha de alta 11/07/2012 al 11/08/2012 (baja por cambio de comercializadora), indicando que la contratación fue telefónica y a través de una tercera empresa con la que tenía suscrito un Contrato para la Prestación de Servicios.

GALP aportó copia de la grabación de la llamada telefónica, en la que se constata cómo un hombre que se identifica como el marido de la afectada dice tener su autorización para realizar la contratación, confirmando todos los datos personales necesarios para el alta.

Así mismo, GALP reconoce haber recibido una reclamación por escrito de la denunciante exponiendo que ha recibido la carta de bienvenida como cliente pero que ella no ha contratado nada. GALP le respondió a los 20 días informandole que el contrato ya se diera de baja, por cambio de comercializadora y que emitió una única factura en concepto de liquidación del servicio por importe de 12,91 €, relativos al consumo de gas.

El Director de la AEPD acordó iniciar, procedimiento sancionador a GALP por presunta infracción del artículo 6.1 de la LOPD, tipificada como grave, formulando GALP alegaciones en las que solicitó el archivo del expediente sancionador y, con carácter subsidiario, la imposición de las sanciones que pudieran corresponderle con arreglo a la escala prevista para las infracciones leves, a tenor de los artículos 45.5 y 45.4 de la LOPD. (es decir y para entendernos, una rebaja de la misma).

Como alegaciones, GALP manifestó lo siguiente:

  • La contratación se realizó con el marido de la denunciante, que en la grabación de la teleoperadora contesta “sí” cuando se le pregunta si está autorizado a realizar el cambio.
  • En la grabación, la teleoperadora informa al marido que recibirá en su domicilio copia del contrato como confirmación de la contratación, no se dice que sea necesaria la devolución firmada de dicho contrato para que la contratación se lleve a efecto (el art. 5 del Real Decreto 1906/1999, señala que es necesario que la contratación telefónica se acredite mediante cualquier medio que permita constatarla y GALP dispone de la grabación).
  • GALP dice haber adoptado medidas correctoras para que no vuelvan a suceder situaciones similares, que su actuación para la resolución fue rápida y con la diligencia debida.

Para comprender bien esta “rocambolesca” sanción, hay que señalar que el artículo 6 de la LOPD hace referencia a la necesidad de contar con el  consentimiento del afectado para que puedan tratarse sus datos personales (salvo las excepciones contempladas en la ley).

El procedimiento sancionador hace referencia a distintos sentencias, de las que no vamos a hablar para no extendernos, todas ellas en torno al derecho del afectado a consentir sobre la recogida y uso de sus datos y a saber de los mismos, destacando que si bien consta un CD con la grabación, no existe el consentimiento inequívoco, debiendo recordar, que es al denunciado al que corresponde la carga de la prueba del consentimiento del titular de los datos.

Según la AEPD, en el presente caso no ha quedado acreditado el consentimiento de la titular de los datos y la entidad denunciada no aportó prueba fehaciente del consentimiento inequívoco de la denunciante para el tratamiento de sus datos.

Aun cuando se trata de una infracción grave, la AEPD analizó la actuación estimando aspectos como la culpabilidad, la inobservancia o la imprudencia al desatender un deber legal, todo ello ponderando el grado de profesionalidad del sujeto denunciado en el manejo de datos de carácter personal (obvio por su actividad y tamaño).

Finalmente la Agencia indicó que “en el asunto que nos ocupa no existe ninguna duda de la presencia del elemento subjetivo de la culpabilidad, concretado en la grave falta de diligencia demostrada por GALP, responsable del fichero al que se incorporaron los datos de la denunciante asociados al alta de un contrato de gas, sin contar con su consentimiento de la titular del servicio” señalando también que “no adoptó con ocasión de la contratación la diligencia que es exigible, máxime cuando el desarrollo de su actividad profesional conlleva un continuo tratamiento de datos personales”.

Respecto a la “rebaja en la sanción”, aún cuando se consideró que si bien no había una cualificada disminución de la culpabilidad del imputado, “ya que la empresa por su actividad debería estar habituada al tratamiento de datos personales y por ello ser especialmente diligente (mantuvo a la denunciante con una deuda pendiente a fecha 22 de octubre de 2012, (fecha de entrada en esta Agencia de la solicitud de información por parte de la inspección”) la AEPD consideró el comportamiento e intervención de un tercero (supuesto marido)circunstancia que ha podido influir en los hechos valorados y aunque no exime a la entidad denunciada de responsabilidad  permite aplicar las previsiones contenidas en el citado artículo 45.5 b) de la LOPD” (rebaja en la sanción).

En definitiva, creo que nos habrá quedado claro que nuestra pareja no es quién para autorizar una contratación en nuestro nombre en base a la LOPD.

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones - Eurovima Consulting

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones

/0 Comentarios/en /por

El pasado día 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modifica entre otros, algunos aspectos de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI o LSSICE), del 11 de julio de 2002.

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones - Eurovima Consulting

Application Mobile Stock ImageBy emptyglass in www.freedigitalphotos.net/

Entre las modificaciones de la LGT referentes a la LSSI  de manera resumida, cabe resaltar las siguientes:

  1. Las comunicaciones comerciales y la persona física o jurídica que la realiza deben ser identificadas. Se elimina la obligación de identificar los e-mails, SMS, o cualquier comunicación comercial mediante la palabra “Publi” o “publicidad”.
  2. Se crea la figura del apercibimiento, al igual que en la LOPD (en el caso de infracciones graves y leves y si concurren ciertos atenuantes). En estos casos se suprime la sanción “directa” y en su lugar, se apercibe al sujeto responsable para que adopte las medidas correctoras oportunas.
  3. Será una infracción grave el envío insistente de comunicaciones comerciales no solicitadas (envíos repetidos a unos pocos destinatarios) y también el envío de más de tres comunicaciones en un año.
  4. Los usuarios podrán emplear el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento de la recepción de comunicaciones comerciales (darse de baja vía e-mail).
  5. Se suprime la exigencia de que el usuario realice una acción expresa, cuando instale o actualice el navegador, para manifestar su consentimiento al uso de cookies. Sobre las cookies, también se aclaran cuestiones que afectan a las obligaciones y los responsables y se sanciona ignorar la voluntad del usuario de no consentir su uso o seguir tratando sus datos aun cuando el usuario haya revocado el consentimiento prestado con anterioridad.

Bueno, pues una vez ya en marcha, vamos a ver las consecuencias que puedan tener estos cambios (si las tiene), sobre todo en lo referente a aclarar aspectos sobre el consentimiento de cookies (principalmente de las cookies estadísticas y analíticas) que tanto ha dado que hablar en las últimas semanas.

Como hemos escuchado en las redes sociales, hubiese sido deseable que la AEPD se hubiese pronunciado al respecto, de manera pública, en cualquier caso, si Ustedes lo quieren hacer, esperamos encantados sus comentarios.

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

/0 Comentarios/en /por

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

  1. El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
  2. La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
  3. El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
  4. El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
  5. De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

  1. El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
  2. El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
  3. El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
  4. El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

 

[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€

/0 Comentarios/en /por

La AEPD ha publicado dos sanciones con 3 días de diferencia a dos establecimientos por no hacer caso de apercibimiento. Las multas han sido de 6.500€ por ignorar las “advertencias” de la AEPD y en ambos casos la denuncia, formulada por la policía municipal (de Huelva y Madrid), estaba vinculada a sistemas de vídeovigilancia que los establecimientos habían instalado sin haber inscrito el fichero correspondiente y por no disponer de los carteles de zona video vigilada, ni de los formularios de acceso para los afectados.

photo credit: woodleywonderworks via photopin cc

photo credit: woodleywonderworks via photopin cc

Del procedimiento (PS-00059-2013) comentar de manera breve que «acuerda requerir a la entidad, de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acredite, en el plazo de un mes desde este acto de notificación, el cumplimiento de lo previsto en el artículo 5 de la LOPD, aportando fotografía que acredite tener en el establecimiento denunciado los carteles informando de la presencia de las cámaras y en los que se especifique a la persona o entidad ante la cual ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, se le requiere que acredite en el mismo plazo de un mes el cumplimiento de lo previsto en el artículo 26 de la LOPD, mediante la inscripción del fichero con la finalidad de “Videovigilancia” a nombre del denunciado».

Del segundo procedimiento, fuimos conscientes a raíz de un tweet de @fjavier_sempere aunque en un primer momento pensamos que era el mismo, ya que en ambos no se atendieron las notificaciones de la AEPD, aunque sí es cierto que en éste, la notificación fue devuelta en dos ocasiones por el servicio de correos con la indicación “AUSENTE REPARTO”, posteriormente expuesta en el tablón de edictos del Ayuntamiento de Huelva durante 20 días y finalmente en el Boletín Oficial del Estado.En el caso que ya comentamos en el anterior post Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa), tampoco fue atendida alegando posteriormente que “nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión”.

Hay que recordar que la figura del apercibimiento (BOE 5-2-2011), vino a “aliviar” en gran medida a las entidades que incumpliendo la normativa evitaban ser sancionadas de forma directa, mediante un “tirón de orejas” (salvo las infracciones muy graves o que el infractor no hubiese sido sancionado o apercibido con anterioridad) debiendo en el plazo que la AEPD determine, acreditar la adopción de las medidas correctoras notificadas.Siempre hablamos de la importancia de tener bien presentes determinados aspectos de la LOPD que siendo tan previsibles, nos pueden acarrear, no solo una mala imagen sino una sanción fácilmente evitable, aunque me temo que en ambos casos los “gestores” que les han asesorado nunca serán como los profesionales de las asesorías especializadas en la materia les puedan prestar y todos sabemos que lo barato (o “gratis” a lo LOPDCOSTECERO) a la larga, sale caro.

En fin, curioso que en tan corto plazo de tiempo, se hayan conocido sendas sanciones tan similares si bien es cierto que en lo que llevamos de año ya se han dictado cerca de 20 procedimientos con parecidas características (infracción del artículo 37.1.f) de la LOPD) y las que se han resuelto con sanción la multa ha sido de 6.500€ en la mayoría de los casos.

Conclusión: Si la AEPD te apercibe y “tira de las orejas”, no hagas “oídos sordos” y atiende su solicitud o prepara 6.500€ para la multa.

 

Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

¿Quo Vadis LOPD? ¿Quo Vadis Privacidad?

/3 Comentarios/en /por

Amigos lectores, hemos estado dudando en como titular este post, aunque la verdad es que lo importante es la conclusión que podamos hacer al finalizar su lectura, si es que sacamos alguna.

Hace unos días vimos en la portada del periódico “El País” el siguiente titular: EE UU presiona en la sombra para frenar la normativa de privacidad europea” . Vaya, una portada y bien grande sobre privacidad, que además va acompañada de 3 páginas interiores desgranando parte de las cuestiones que ahora comentaremos.

Todo ello nos hace reflexionar sobre el contenido de los artículos, las entrevistas, noticias y los acontecimientos que se han sucedido últimamente, para ver hasta qué punto parece que los temas de privacidad asoman con fuerza.

La cuestión es que ya la semana pasada pudimos leer en una entrevista  al director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez una frase que pienso viene a dar en parte, respuesta al título de este post: “Estamos en un momento crítico para la privacidad”.

Pues sí, un momento en el que había esperanzas por ver cómo quedaría finalmente el reglamento europeo de protección de datos, si es que daba tiempo en ésta legislatura que se agota, y ahora aparecen los escándalos conocidos sobre el programa PRISM que parece va a dejar en eclipse total a la privacidad, no sólo de los europeos, me temo que a la privacidad del “mundo mundial” le esperan tiempos de tinieblas, aunque para según qué lado del atlántico serán mayores o menores si nos atenemos a las palabras de la propia Viviane Reding (vicepresidenta de la Comisión Europea y responsable de Justicia) diciendo “nunca había visto un ‘lobby’ tan potente”.

Vamos que hay una lucha entre EEUU y la UE por el control de la privacidad, en la que a medida que avanzaba el caso PRISM convirtiéndose en el caso SNOWDEN, lo de menos es saber si realmente todas nuestras comunicaciones son intervenidas, más bien si lo seguirán siendo, entre otras cuestiones.

Las declaraciones de los países se han ido sucediendo y al final parece que todos lo sabían, consentían e incluso tenían su propio programa de espionaje. Hace unos días la propia canciller de Alemania, Angela Merkel, manifestó su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

Pero según indicaban algunos medios alemanes, “Los servicios secretos alemanes conocían desde hacía años la capacidad de sus homólogos estadounidenses para interceptar comunicaciones en todo el mundo y recurrieron a ellos en repetidas ocasiones”. Ante esto la respuesta de momento, es la habitual: “el gobierno ‘no comenta públicamente detalles’ de la ‘cooperación’ entre los servicios secretos alemanes y los estadounidenses”, es decir, NO COMENT.

La semana pasada también desayunábamos con la noticia de que el Gobierno brasileño baraja obligar a las multinacionales que ofrecen acceso y servicios en Internet a almacenar sus datos en Brasil y no en el exterior, creando nuevos incentivos para que las empresas mantengan sus centros de datos en Brasil, ya que el gobierno brasileño entiende que “internet tiene reglas de gestión exclusivamente dictadas por Estados Unidos. Defendemos una gestión multilateral y multisectorial”. El caso de Brasil parece que no será el único o cuando menos en intenciones.Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

Y mientras en la UE con una directiva del año 1995, sus Estados miembros no se ponen de acuerdo para sacar adelante la nueva reglamentación, en un momento en el que por todo lo anteriormente comentado, es evidente que hay una necesidad de contar con estándares globales de privacidad. Si a esto le añadimos las palabras asombrosas pronunciadas en una conferencia sobre la reforma de la normativa europea de protección de datos por Giovanni Buttarelli, adjunto al supervisor Europeo de Protección de datos, fijando el año ¡¡¡2025!!! como la fecha en la que entraría por completo en vigor el nuevo reglamento, entonces me viene a la mente la famosa frase de Obélix: “están locos estos Romanos”.

Es evidente que el mundo tiene o tenemos otros problemas, que hay amigos/conocidos que afirman que la LOPD/privacidad es una paranoilla de 4 freekes, a lo que suelo responder que en cierto modo sí, pero que gracias a ellos aún hay quien se preocupa por su privacidad. Impresiones, que en cierto modo se puede confirmar si nos atenemos a una encuesta del mes de mayo, que reflejaba lo siguiente: ”La protección de datos personales, es una leve preocupación para los españoles“ y no les falta razón, sobre todo al ver cómo actúan los romanos en la defensa de su Imperio.

En el 82 ya cantaba Miguel Ríos aquello de “año 2.000”, con estrofas como:

«Esta es la era de Mister Chips,
micro-ordenador de tu porvenir.
Que por lo pronto te quita el curro
además de ser tu ficha sin fin.
Hay que dictar su sentencia,
diciéndote que es por tu bien…..»

Pues sí, de nuestro provenir, nuestra ficha sin fin y por nuestro bien. La batalla del derecho al olvido ya está en marcha y se enfrenta a la libertad de expresión, la de la competitividad marcada por las leyes globales-locales también, la de anteponer seguridad a privacidad es una batalla que renace a golpe de terrorismo. La era del Big Data y el Cloud Computing hacen que conservemos la información “por si acaso”, sin importar dónde o si lo hacemos de forma segura y responsable, sin advertir de las brechas de seguridad …

Vendrán otras guerras, probablemente inimaginables hasta para Miguel Ríos, para las que en el 2025 tampoco habrá respuestas y mientras nos haremos la misma pregunta: ¿Quo Vadis?

Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa)

/0 Comentarios/en /por

En abril de 2011 la Policía Municipal de Madrid comunica a la Agencia Española de Protección de Datos (AEPD) una posible infracción de la LOPD motivada porque un “establecimiento” tiene 8 cámaras de vídeo-vigilancia instaladas y no cuentan con los oportunos carteles de zona vídeo-vigilada, ni con los formularios de acceso para los afectados.

La denuncia señala que las 8 cámaras, están conectadas a un monitor central receptor, no pudiendo comprobar el sistema de grabación empleado, observando que se encuentran conectadas a un vídeo y a un módem de una compañía telefónica.

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Los Servicios de Inspección de la Agencia iniciaron actuaciones previas con objeto de determinar si el tratamiento de los datos personales, a través del citado sistema de vídeo-vigilancia, cumplían las condiciones que impone la normativa.

Es de suponer que el establecimiento, antes de la llegada de los Servicios de Inspección de la Agencia, colocaron los carteles preceptivos y editaron el formulario informativo que debe estar a disposición de los ciudadanos acorde a la Instrucción 1/2006, ya que la inspección constató su existencia, aunque por lo que se ve “olvidaron” registrar el fichero ante la AEPD.

La inspección, también constató que las cámaras grababan las imágenes en un grabador sin que se pudiese precisar durante cuánto tiempo, ya que el sistema había sido instalado por los anteriores propietarios y estaba protegido el acceso por una clave que los actuales propietarios decían desconocer y no podían saber (pues la empresa que instaló el sistema ya no existía).

El procedimiento de la AEPD señala que “se pone de manifiesto que las cámaras efectúan grabaciones, no constando que dicho fichero se encuentre inscrito en el Registro General de Protección de Datos de esta Agencia” y la AEPD decide APERCIBIR (A/00050/2012) al  establecimiento por infracción del artículo 26 de la LOPD (“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD”), tipificada como leve por la LOPD.

En este caso, el establecimiento se “iba de rositas”, ya que simplemente debía inscribir en el plazo de un mes (marzo de 2012) dicho fichero, advirtiéndole la Agencia que en caso contrario se iniciaría la apertura de un procedimiento sancionador, como finalmente ha sido.

En éste tiempo, la Agencia por dos veces (mayo y septiembre de 2012) reitera al establecimiento, por medio del servicio de correos con acuse de recibo, lo requerido en el procedimiento de apercibimiento (inscripción de fichero con finalidad de vídeo-vigilancia) sin que se hayan adoptado las medidas correctoras solicitadas.

Por ello el 4 de febrero de 2013, el director de la AEPD acordó iniciar el procedimiento sancionador por presunta infracción del artículo 37.1.f) de la LOPD (“son funciones de la AEPD: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”) tipificada como grave, pudiendo ser sancionada con multa de 40.001 € a 300.000 €, de acuerdo a la LOPD.

Una vez notificado, el Establecimiento formuló alegaciones, entre otras y de manera textual las siguientes:

“…En cuanto tomamos conocimiento de dicha notificación nos pusimos en contacto telefónico con la Agencia Protectora de Datos, solicitando más información sobre el tema, allí muy amablemente la persona que se puso al habla no comunico bien de que iba todo el tema, y nos aclaró que ya hacía bastante tiempo que nos envían notificaciones si respuesta alguna de nuestra parte.

Allí fue nuestro asombro ya que todo lo referente a nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión.

Esta persona por lo visto no les ha presentado ningún tipo de notificación haciendo quedar a la empresa como irresponsable, de todos modo con excusarnos en otra persona no queremos evitar alguna responsabilidad, sino todo lo contrario.

… Por lo expuesto reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos.”

En resumen que la culpa es del gestor (seguramente sea así) y como manifiestan “haciendo quedar a la empresa como irresponsable” aunque ellos insisten en su incomprensión ya que “reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos”.

Estamos seguros que no van a volver a corroborarlo y que ya no se irán de rositas, ya que se le ha impuesto una multa de 6.500€ por la infracción mencionada del artículo 37.1.f) de la LOPD.