Entradas

La AEPD sanciona con 6.000€ a aseguradora por revelar datos del consorte al cónyuge

/0 Comentarios/en /por

Antes de entrar a comentar la resolución de la AEPD (PS-00424-2013) que concluyó con una sanción de 6.000€, nos haremos la siguiente pregunta: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Los hechos que motivaron la denuncia ante la AEPD

Una pareja casada, presentó sendas reclamaciones, cada uno por su lado, ante la compañía aseguradora con la que tenían contratado un plan de pensiones porque ésta no les informaba sobre la rentabilidad de los mismos. Se da la circunstancia que cada uno de ellos tenía como asegurado y como beneficiario al otro. Finalmente la aseguradora respondió a cada uno de ellos por separado, pero informando en cada una de las comunicaciones sobre la rentabilidad de los dos planes tal y como señala la resolución “no solo la información relativa a su Plan, sino también la relativa al Plan de su cónyuge”.

Esta acción que en principio pudiera parecer lógica, tiene una compleja y variada fundamentación legal.

Si repasamos el Código Civil, en su artículo 71 indica que ninguno de los cónyuges puede atribuirse la representación del otro sin que le hubiere sido conferida. Sin embargo y para el régimen económico matrimonial de la sociedad de gananciales, situación económica  en la que se encuentran gran mayoría de los Españoles, el artículo 1.375 indica que en defecto de pacto en capitulaciones, la gestión y disposiciones de los bienes gananciales corresponde conjuntamente a los cónyuges. Esto implica que un Cónyuge podría solicitar datos del otro siempre que los mismos puedan incluirse dentro de la administración de bienes gananciales, y con finalidad de gestionar los mismos. Pero es que además la misma norma en su artículo 1.346, apartado 5, indica que los bienes y derechos patrimoniales inherentes a la persona y los no transmisibles inter vivos se consideran bienes privativos.

Desde la perspectiva de la LOPD, ¿cuál ha sido el incumplimiento?.

En el artículo 10, la LOPD obliga al responsable del fichero a guardar secreto sobre los datos de los clientes que se están tratando y que el responsable del fichero (la empresa denunciada) o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos.

Además el artículo 9 obliga al responsable del fichero a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El incumplimiento lo encontramos claramente reflejado en la resolución: “Por tanto, no ha actuado con la diligencia debida al no comprobar correctamente los datos y documentos remitidos a cada uno de los denunciantes, por lo que debe considerarse que ha vulnerado el artículo 10 de la LOPD”, “al enviar a cada uno de los denunciantes carta en la que constaba no solo el nombre y apellidos del cónyuge, sino también el Certificado de Pago de Primas y la Información Trimestral de Plan de Previsión Asegurado contratado por cada uno de ellos, información que había sido solicitada individualizadamente por cada uno de ellos en reclamación de 29/08/2012, sin que hubiese obtenido el consentimiento o autorización de los denunciantes para la revelación de los mismos, conculcando el deber de secreto recogido en el citado artículo 10 de la LOPD, por lo que su actuación ha de ser merecedora de sanción.

Resolvamos la pregunta planteada al inicio: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Atendiendo a las normas mencionadas, la respuesta es NO.

Con respecto a la legislación civil, el fundamento legal es que se trata de un derecho inherente a la persona, no transmisible inter vivos, del que no se tiene representación, por resultar un derecho privativo, y por tanto no entra dentro del régimen económico matrimonial de gananciales.

Con respecto a la LOPD, la sanción impuesta por la AEPD a la aseguradora, ha sido por el incumplimiento del mencionado deber de secreto, no obstante la Agencia ha considerado la peculiaridad del caso, aplicando una graduación (disminución) en la sanción, que finalmente ascendió a 6.000€, una vez valorados los criterios de graduación de las sanciones que la LOPD contempla, tanto favorables como adversos, que en este caso han sido los siguientes:

  1. Adverso.- La resolución señala que se “trata de una gran compañía aseguradora por cuota de mercado; todo ello, en vez de atenuar su responsabilidad, le impone un mayor deber de diligencia en su actuación”.
  2. Favorable.- Por otra parte la AEPD entiende que “concurre en el presente caso una cualificada disminución de la culpabilidad de la compañía aseguradora, pues si bien incluyó en la comunicación dirigida a cada uno de los denunciantes información del Plan del respectivo cónyuge, información que era absolutamente prescindible; sin embargo, los citados denunciantes son cónyuges, la reclamación de los mismos ante la oficina de Algeciras se realiza simultáneamente en la misma fecha, su contenido es prácticamente idéntico, tienen la misma dirección y son beneficiarios de los respectivos Planes”.

En conclusión podemos responder a la pregunta inicial y asegurar que sí que pueden existir secretillos en el matrimonio y que la próxima vez atiendas con mayor rapidez las solicitudes de información de tus clientes, o de lo contrario aprovecharán cualquier «error» para «ajustar» cuentas.

Como siempre, estaremos encantados de recibir vuestras opiniones.

 

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

/0 Comentarios/en /por

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr

¿Pueden las comunidades de vecinos publicar morosos en su tablón de anuncios?

/2 Comentarios/en /por
www.freedigitalphotos.net

www.freedigitalphotos.net

Por mucho que se empeñen las comunidades de vecinos en sus recursos ante la Agencia Española de Protección de Datos (AEPD), no hay justificación alguna que les ampare para publicar datos de sus vecinos morosos en el tablón de anuncios de la comunidad salvo que puedan acreditar que ha existido de manera previa intentos de notificación al deudor y por tanto dejando constancia de no quedarle otra opción.

Este aspecto queda reflejado en que de los 16 Recursos de Reposición sobre Procedimientos de Apercibimiento publicados por la AEPD con fecha de resolución en 2013, cinco de ellos fueron motivados por este  incumplimiento y los 5 recursos fueron desestimados.

El deber de secreto y la cesión de datos

La AEPD en sus resoluciones de apercibimiento consideró el incumplimiento del artículo 10 de la LOPD por parte de las comunidades de propietarios, que establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Recordemos que, la finalidad del artículo 10 es la del deber de guardar secreto, y por tanto evitar que se realicen filtraciones de los datos no consentidas por sus titulares, siendo ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a la que se refiera dicha información.

Por ello, su publicación supone una cesión de datos de carácter personal según establece la LOPD en su artículo 3 (toda revelación de datos realizada a una persona distinta del interesado) si bien el artículo 11 establece que será posible la cesión inconsentida de los datos en caso de que la misma se encuentre amparada o fundamentada en lo establecido por una norma con rango de ley (artículo. 11.2 a LOPD), en este caso recurriendo al amparo de las obligaciones impuestas por la Ley de propiedad Horizontal (LPH).

¿Cómo debe actuar la Comunidad?

El artículo 16.2 de la LPH en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios, permite dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de las deudas. No obstante para hacerlo público en un tablón de anuncios (bajo llave) será obligatorio acreditar los intentos previos que no han logrado la notificación al deudor y dejar constancia de no existir otra alternativa posible.

Además, hemos de tener presente que dicha publicación ha de cumplir con una serie de requisitos formales adicionales y que como máximo permanezca publicada sólo durante el tiempo estrictamente necesario para que produzca plenos efectos jurídicos, es decir, los tres días naturales que establece el artículo 9.h de la LPH.

En los 5 casos desestimados por la AEPD se ha dado la circunstancia de no haber acreditado la imposibilidad de notificar por medios alternativos dicha deuda, considerando la AEPD en todos los procedimientos que el tablón de anuncios de la Comunidad es susceptible por su ubicación, del acceso público de terceras personas ajenas a la Comunidad de propietarios, como personas alquiladas o visitas de cualquier tipo y por tanto incumple el deber de secreto.

Cuando se habla de la conveniencia de que las comunidades de vecinos realicen las actuaciones que tengan que ver con el tratamiento de datos de carácter personal de sus vecinos y el cumplimiento de la LOPD, no solo se trata de aplicar el sentido común, hemos también de aplicar la normativa en la materia.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría.

Enlace a los procedimientos:

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD

/2 Comentarios/en /por
Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Some Flying Envelopes – By renjith krishnan in www.freedigitalphotos.net

Cuántas veces escuchamos aquello de que recibimos correos comerciales que no hemos solicitado, ni sabemos de dónde han obtenido nuestros datos, vamos, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica). Pues muchas, pero al final muy pocas personas se deciden a denunciar. La cuestión es que si se denuncia, la Agencia Española de Protección de Datos (AEPD) actúa, analizando lo sucedido y sancionando cuando, como en el caso que nos ocupa, se incumple la normativa.

Este ha sido el caso de una persona que recibió un correo electrónico (comunicación comercial) de una empresa a la que si bien había comprado un producto en su día, decidió posteriormente que no quería recibir información comercial de dicha empresa y se dio de baja en la suscripción del newsletter al objeto precisamente de no recibir más correos electrónicos o comunicaciones comerciales de dicha empresa, llegando el denunciante a recibir un correo que confirmaba haber procesado su petición y que sus datos de contacto quedaba excluidos de la lista de clientes que admitían e-mail.

Posteriormente recibió un nuevo correo electrónico con contenido comercial, denunciándolo ante la AEPD, quien en su resolución de 21-11-2013, señala que “Spames cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

Como la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, finalmente la AEPD impuso una sanción de 600 € por infracción de dicho artículo.

La cuantía de la sanción fue baja, ya que si bien pudo llegar a ser de hasta 30.001€, la AEPD concluyó que:

  • Fuese considerada leve (al no tratarse de un envío masivo a distintos destinatarios, ni más de tres envíos al denunciante).
  • Le fuesen aplicados los criterios de graduación de las sanciones recogidos en el artículo 40, y en este caso por la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos.

Como habitualmente indicamos a nuestros clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos) y seguir los procedimientos que tenemos implementados y recogidos en nuestro documento de seguridad y sobre todo, que antes de hacer cualquier campaña de marketing que suponga una comunicación comercial nos consultéis previamente, que nuestro servicio de asesoría está a vuestra disposición para señalaros las implicaciones normativas tanto de la LOPD como de la LSSI y la manera de gestionarlo de forma correcta y segura.

Fallo de seguridad de acceso a Banca On-line supone una sanción de 6.000€ a ING de la AEPD | Eurovima Consulting | Asesoría LOPD Madrid

Fallo de seguridad de acceso a banca on-line supone una sancion de 6.000€ a ING de la AEPD

/1 Comentario/en /por

Es evidente que siempre van a existir fallos en los sistemas de seguridad, por mucho que nos empeñemos en poner todos los medios y medidas de seguridad de índole técnica y organizativas a disposición del negocio y por ende de los datos de carácter personalde los que somos responsables.

No obstante es muy importante una vez que se producen, tratar de solucionarlos de manera ágil, analizando lo sucedido y tomando las medidas correctoras adecuadas para que no se vuelvan a repetir.

Algo así es lo que le ha sucedió a una entidad bancaria que ha sido sancionada  (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) a raíz de la denuncia presentada por dos particulares en julio de 2012, en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Los hechos fueron reconocidos por la entidad durante la inspección

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, que fue escalada a los responsables correspondientes siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada.

Los representantes de la entidad entregaron a los inspectores de la Agencia la impresión del registro de la incidencia, que incluía un informe descriptivo de la misma, así como las acciones emprendidas por la entidad para su resolución y las mejoras de seguridad que fueron recomendadas.

Según el informe, la incidencia se produjo a raíz de una “subida a producción” de una nueva versión de la aplicación que da soporte al acceso de los clientes mediante el canal móvil y que en ningún caso hubo acceso a datos de contraseñas ni era posible la realización de operaciones bancarias ni de ningún tipo. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

Posteriormente el Director de la AEPD acordó el inicio de procedimiento sancionador por presunta infracción del artículo 9.1 LOPD, tipificada como grave en su artículo 44.3.h), pudiendo ser sancionada con multa de 40.001€ a 300.000€.

La entidad bancaria presentó alegaciones reconociendo de manera plena, voluntaria y espontánea los hechos, declarándose responsable y culpable del fallo de seguridad, acogiéndose a la aplicación del artículo 45.5, es decir, que le fuese de aplicación la escala relativa a las infracciones leves y en su grado mínimo, dadas las circunstancias concurrentes, vamos a una “rebaja”.

AEPD imputó la vulneración del principio de seguridad de datos personales (multa de 40.000€ a 300.000€)

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

[pullquote]La Agencia consideró aplicar el artículo 45.4, en base a la actuación de la entidad, siendo la sanción únicamente de 6.000€ [/pullquote]

La Agencia valoró los criterios, tanto favorables como adversos, de graduación de las sanciones e impuso una sanción de 6.000€, ya que consideró lo siguientes aspectos:

  • Favorables: “Cuando el infractor haya reconocido espontáneamente su culpabilidad”, por lo que es posible la aplicación de una sanción de “la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. Además, la entidad actuó de manera diligente al regularizar la situación creada de manera inmediata, poniendo remedio a fallo cometido tan pronto tuvo conocimiento de los hechos ocurridos, estableciendo contacto con los afectados y adoptando nuevas medidas de seguridad para evitar que el fallo pudiera repetirse.
  • Adversos: es evidente que en el desarrollo de la actividad empresarial que desempeña la entidad denunciada se ve obligada a un continuo tratamiento de datos personales tanto de sus clientes como de terceros, toda vez que se trata de una gran entidad financiera por cuota de mercado.

En definitiva, hemos de recordar que las medidas de seguridad no son infalibles y ante fallos en la seguridad hemos de actuar de manera ágil y contundente, realizando un buen análisis e implementando las medidas correctoras oportunas.

Los datos de carácter personal que nuestros clientes nos confían son lo suficientemente importantes como para revisar nuestras medidas de seguridad de manera recurrente. Como no tendremos el tamaño ni los recursos de una entidad bancaria, recordar que como consultoría y asesoría os ayudamos y asesoramos sobre cómo hacerlo.

Haz marketing pero consulta a tu asesoría protección de datos

Haz marketing, pero antes consulta a tu asesoría de protección de datos

/0 Comentarios/en /por

Está visto que algunos hacen cualquier cosa por captar datos de potenciales clientes, pero ya sabemos que en este mundo del marketing, no todo vale, como hemos podido comprobar en la resolución dictada el pasado 30 de septiembre de 2013, por la Agencia Española de Protección de Datos (AEPD) vista la denuncia presentada por un particular en diciembre de 2012, en la que denunciaba haber recibido dos correos electrónicos comerciales no deseados en el que se le solicitaban la aportación de datos personales de terceros, al menos 5 contactos, a cambio de recibir una participación en la lotería de Navidad.

La inspección confirma la veracidad de la denuncia.

La AEPD realiza una inspección a la entidad denunciada, verificando que tiene registrado un fichero de Clientes y que la campaña de marketing se hizo enviando correos a sus Clientes, con un enlace en el que debían cumplimentar los datos de captación solicitados de amistades/conocidos, en definitiva de terceros (nombre, apellidos, dirección correo electrónico y población), datos que posteriormente usarían para enviar correos electrónicos ofreciendo sus productos a esos nuevos «contactos».

Parece ser que la campaña no tuvo mucho éxito, apenas 47 registros, desistiendo la empresa en realizar finalmente la campaña, borrando los datos durante el proceso de inspección. La AEPD también comprobó que los correos electrónicos del denunciante figuraban en el fichero de clientes del denunciado, demostrando con una factura que contenía sus datos por una compra anterior.

Recordar que el artículo 6.1 de la LOPD señala que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La sentencia habla de doble incumplimiento, pero le aplica el apercibimiento.

Lo curioso de la sentencia, es que la AEPD señala que se producen dos incumplimientos, uno por el envío del correo electrónico cuya finalidad no era la adecuada a su relación como Cliente, es decir, ofrecer sus productos sino “como medio de captación de potenciales clientes a cambio de un beneficio (en este caso, un décimo de lotería)” y otro incumplimiento cuando “la entidad se nutre de una base de datos para envío de publicidad, ya que no tiene el consentimiento de estas personas para tener sus datos.”

La sentencia señala que ha quedado acreditado el tratamiento de los datos del denunciante y de los terceros que fueron incluidos en su base de datos, sin presentar prueba alguna que demuestre el consentimiento ni justificar que concurre alguna de las excepciones al artículo 6.1

En concreto, la AEPD,  con arreglo al artículo 45.6 (ley de economía sostenible) decide apercibir a la entidad, ya que se trata de una infracción grave, no había sido apercibido o sancionado hasta la fecha y al no haber obtenido beneficios de la misma, sin  exigir que la entidad denunciada adopte medida correctora alguna dada la infracción.

En definitiva, antes de hacer una campaña de marketing, consulta con tu asesoría en protección de datos

Habitualmente recalcamos a nuestros clientes, que antes de realizar cualquier tipo de campaña y por el medio que sea, nos consulten sobre la misma, ya que contar con la opinión de expertos en materia de marketing puede ser importante para alcanzar los objetivos perseguidos, pero hacerlo con expertos consultores en protección de datos nos evitará situaciones como la comentada o peores, bien en forma de sanción económica o afectando a nuestra imagen.

NEWS 30/Octubre/2013 Memoria 2012 de la Agencia Española de Protección de Datos

/0 Comentarios/en /por

La Agencia Española de Protección de Datos (AEPD) acaba de publicar su Memoria de 2012.
Como datos llamativos que reflejan la memoria podemos destacar que la cuantía total de las sanciones ascendió a 21 millones de euros, las denuncias aumentaron 12% respecto al 2011, el 73% de las sanciones son a empresas del sector telecomunicaciones y que tres de los principales operadores suman el 71% del importe global de multas y sin embargo las multas a la banca descienden un 27%.
En el ámbito de empresas-entidades privadas, más del 34% de las denuncias concluyeron en apercibimiento, es decir, tiron de orejas y a subsanar el error (por estar adecuados a la normativa, pero haber incurrido en falta no muy grave), por eso la importancia de cuando menos adecuarse a la Ley Orgánica de Protección de Datos (LOPD).
Las multas por SPAM (correos electrónicos sin copia oculta) y correos o comunicaciones electrónicas no solicitadas/autorizadas han aumentado un 77% en el último año, un dato muy significativo y con el que hay que tener especial cuidado a la hora de hacer nuestra actividad comercial y alegar que el servicio es realizado por un tercero no nos exime de nuestra responsabilidad.
A la vista de éstos datos y de la seriedad de las sanciones si necesitas cualquier tipo de asesoría en materia de Protección de Datos o de adecuación a la LSSI, nuestro departamento de Asesoría LOPD, LSSI está disponible para ti.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

/8 Comentarios/en /por

En primer lugar, queremos señalar que no entraremos en “moralinas”, aunque se hace difícil no hacerlo y por eso os pedimos vuestros comentarios y opiniones sobre este tema que la verdad es que no deja indiferente a quien lo haya conocido.

Hablamos de la reciente Sentencia de la Audiencia Nacional (AN) del 26 de septiembre de 2013

El origen de los hechos: Niño de 12 años enseña video de contenido sexual a compañera en el colegio.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

Teenagers Reading Sms Stock Photo By Ambro in Ffreedigitalphotos.net

En un colegio de Madrid, un alumno de 12 años, muestra con su teléfono movil a una compañera, un video de contenido sexual y la alumna “denuncia” los hechos ante el director del centro. El centro que ya había requisado el móvil del menor por tenerlo encendido en clase, ante la denuncia de la alumna llama al menor para verificar la misma.

Con la ayuda de una persona del centro del área de “informática”, acceden al teléfono solicitándole el numero PIN, no está claro si de manera “forzada” o voluntaria, revisando la navegación en Internet del día en cuestión verificando el acceso en ese día a dos páginas Web de contenido sexual.

De esta situación, no son informados los padres del menor y por tanto se hace sin el consentimiento de los mismos.

Las denuncias: Primero en el juzgado, después ante la AEPD y finalmente el recurso.

Una vez conocidos los hechos, el padre del menor los denunció en el Juzgado pero fue archivado, al igual que el recurso de apelación, ya que no se apreció la violación del derecho a la intimidad, privacidad y secreto de las comunicaciones, pese a que “De las pruebas practicadas en dichas diligencias penales se deprendería, como acreditado judicialmente, el acceso inconsentido a datos personales del menor por parte del director del centro y, en concreto, la revisión del archivo histórico de navegación por internet …” 

Viendo denegada su petición, los padres deciden denunciar estos mismos hechos ante la Agencia Española de Protección de Datos (AEPD), que denegó incoación de procedimiento, dando lugar a la presentación del recurso contencioso administrativo sobre cuyo fallo estamos comentando.

El padre del menor alegaba que se había vulnerado la intimidad del menor, que no había prestado su consentimiento (recordemos que son los padres, en el caso de menores de 14 años según el artículo 13 del reglamento LOPD) para la revisión del historial de navegación, alegando cesión de datos personales (navegación en Internet).

La resolución de la AEPD; dos las razones para archivar la denuncia

La Agencia dictó resolución de archivo al considerar que no es de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, es decir, quedarían fuera del ámbito la LOPD (lo considera actividad doméstica) aunque este argumento ha sido rechazado por el Tribunal.

La segunda razón que la Agencia señaló para el archivo fue que el acceso al terminal móvil estaría amparado por la Ley Orgánica 2/2006 de Educación, y las normas propias del centro educativo, es decir, que existirían normas específicas que habilitarían el acceso al citado móvil.

En lo referente al carácter domestico, hay varias resoluciones/informes de la propia AEPD, en los que se establecen criterios sobre esta cuestión al igual que la Directiva Europea, no obstante en el caso que nos ocupa el Tribunal ha manifestado que no se pueden considerar como tales y por tanto no le es aplicable la exclusión (bofetada a la AEPD).

Conclusiones a la sentencia

Una vez que la AN le da la razón al padre, en cuanto a que al ser un menor de 14 años debería de existir el consentimiento de sus padres para el acceso o tratamiento de sus datos, posteriormente se la deniega al señalar que en realidad hay que “conjugar el contexto real en que se produjo”, es decir, “en la protección de los derechos de esa niña o de otros menores del centro”, recurriendo a una frase que en el ámbito de la LOPD se usa mucho “el derecho a la protección de datos no es ilimitado…. puede quedar constreñido por la presencia de otros derechos en conflicto” y por tanto el auto habla de realizar una detallada ponderación de los mismos.

Vamos, que hay que ponderar el derecho del resto de compañeros, frente al derecho del menor acusado por el acceso a su móvil o dicho de una manera más simple ponderar el derecho del resto de compañeros frente las actuaciones realizadas por el colegio.

Además, la sentencia señala que resulta de aplicación que el tratamiento de datos sea necesario para el cumplimiento de una misión de interés público, y para la AN la actividad educativa «no solo puede calificarse de interés público sino de verdadero servicio público«.

En definitiva, que el director debe preservar en aras del servicio público que presta y al que ha sido encomendado, la protección de otros menores del centro escolar, amparado en satisfacer un interés legítimo o que la misión educativa del colegio prevalece sobre el derecho a la protección de datos.

Esta cuestión estamos seguros que algunos la consideraréis excesiva y “moralinas” aparte, nos gustaría que la valoraseis y para ello esperamos vuestros comentarios, dejando abierta algunas cuestiones, a la espera de si el padre recurre ante el Tribunal Supremo, como:

  • ¿Qué derecho debe prevalecer: el derecho del resto de compañeros o el del menor acusado por el acceso a su móvil?
  • ¿La misión educativa del colegio prevalece sobre el derecho a la intimidad de sus alumnos?
  • ¿El interés legítimo atribuido al centro es excesivo?
  • ¿Dónde ponemos los límites al interés legítimo?

Otros artículos sobre el tema:

Amedeo Maturo: El Director de Instituto: el Omnipotente.

Francisco Javier Sempere: Audiencia Nacional: acceso del Director de un centro educativo al móvil de un alumno.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies”

/0 Comentarios/en /por

Llevamos casi un mes, desde que Pablo Fernández Burgueño publicara un post,  hablando de cookies, sobre una “ley de cookies” que ni siquiera es tal, pero que a todos nos sirve para referirnos a la cuestión que ha suscitado un montón de artículos y opiniones en el tiempo transcurrido.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Foto tomada por Frédéric BISSON de Flickr

Todo ello motivado por el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa que no cumple lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSI o LSSICE y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo.

En cualquier caso, no se trata de desgranar dicho artículo ni rebuscar comparaciones con otras aplicaciones similares a este tema, como las que el Reino Unido realiza, pues para ello todos hemos leído muy buenos artículos en estos días, que son tantos que no tiene sentido enlazarlos.

Entre tanto, se encuentra en tramitación el Proyecto de la Ley General de Telecomunicaciones que afectará entre otros aspectos a algunas cuestiones que la Ley de Servicios de la Sociedad de la Información (LSSI) regula, incluidas las cookies y que de manera breve hemos ya señalado en nuestro post de hace una semana (Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones). 

La cuestión es que veremos una vez publicada, como quedará la misma, si bien es cierto que hay cuestiones que son interesantes como el hecho de crear la figura del apercibimiento, al igual que en la LOPD, pues suprimir la sanción “directa” y en su lugar apercibir al sujeto responsable para que adopte las medidas correctoras oportunas, genera algo de tranquilidad.

Después de leer y hablar mucho sobre este tema, muchos comentan: ¿qué hay detrás de la “Ley de Cookies”?

Volviendo al tema principal, hemos de reconocer que después de leer mucho y hablar, bien con gente de la calle como con expertos en la materia, tanto desde la perspectiva comercial, técnica y jurídica como desde el punto de vista del usuario/consumidor o de las empresas que hacen e-commerce y de los profesionales en la red, muchos han llegado a la misma y simple conclusión: ¿qué hay detrás de la “Ley de Cookies”?

Hubo quien lo comparó con la cerveza, ya que al que le gusta la cerveza de siempre, la sin, la 0,0 puede ser sustitutiva cuando no hay más remedio, pero para el que la quiera “con” la seguirá comprando aunque haya “ley seca”, aunque vistas las sanciones que les podrían caer, me temo que no se atreverán.

Si hubo coincidencia, en manifestar su incredulidad ante una normativa que consideran excesiva en cuanto a su aplicación, pues afecta a “grandes y pequeños”, como a que crea indefensión respecto a otros mercados/proveedores a los que no les aplica ninguna normativa tan estricta.

Ya hemos comentado en otros artículos que la privacidad que establece la normativa LOPD y LSSI enfocada en un mercado global hace que cuestiones “locales“ como esta, marquen el propio devenir de la privacidad, ya que se refleja en términos de COMPETITIVIDAD cobrando un papel demasiado importante, cuando se trata de perder o dejar de ganar dinero frente a competidores que tienen otras reglas. Volvemos a la cuestión ya planteada en otras ocasiones, es decir, sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Si hay quién se empadrona en alguna localidad por el mero hecho de ahorrase unos euros, que no haremos otros por optar a ganarlos de manera más sencilla o con menos dolores de cabeza.

Opiniones dispares y para todos los gustos

Otros opinan que cumplirla puede penalizar el SEO a día de hoy, otros que ni las propias Administraciones Públicas la cumplen, que las redes sociales como Facebook no pueden alojar páginas de empresa o que la publicidad compartamental estaría muerta y en último caso que se puede recurrir a la confianza legítima ante una sanción.

Hay otros que opinan, ya de una manera algo más privada, que se trata de algún cambalache-compadreo entre alguno que quiere aprovechar el contexto para ganarse unos euros mediante la venta de scripts o vaya usted a saber, pues tal y como estamos cualquier cosa se puede esperar.

Pero es que además, la calle opina que al Usuario en realidad esto le suena a chino y aceptará sin leer y comprender cualquier texto (legal o no) que le permita satisfacer su necesidad en la red, aunque eso sí, la sanción caerá sobre el españolito de a pié.

Nuestra opinión

La opinión de Eurovima, es una mezcla de todas ellas pero en cualquier caso lo que nos preocupa es conocer exactamente qué y cómo hacer para cumplirla, al menor coste posible para todos y cuanto antes mejor, pero teniendo claro que ello no puede suponer una perdida en confianza y competitividad, ya que no nos lo podemos permitir.

En cualquier caso, veremos cuando finalice la resolución, que es lo que ha opinado al respecto la Agencia, mientras continúa en el aire esa cuestión: ¿qué hay detrás de la “Ley de Cookies”?, de las que os pedimos vuestra opinión.

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD? - Eurovima Consulting

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD?

/1 Comentario/en /por

Queremos comentaros el reciente y curioso procedimiento sancionador PS/00213/2013, publicado por la Agencia Española de Protección de Datos (AEPD) cuya resolución ha sido sancionar a la entidad GALP, con una multa de 20.000€ por infracción del  artículo 6.1 de la LOPD relativo al “consentimiento del afectado”, tipificada como grave (multa de 40.001€ a 300.000€.).

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD? - Eurovima Consulting

Businessman Signing Document Stock Photo
By Naypong in www.freedigitalphotos.net

La denuncia es de un particular que dice recibió una carta de GALP comunicándole que había sido dada de alta en los suministros de luz y gas, todo ello sin su conocimiento ni consentimiento (ni de ninguno de sus familiares).

La AEPD solicitó información a GALP que manifestó tener datos de la denunciante, pues existió para el suministro de gas un contrato con fecha de alta 11/07/2012 al 11/08/2012 (baja por cambio de comercializadora), indicando que la contratación fue telefónica y a través de una tercera empresa con la que tenía suscrito un Contrato para la Prestación de Servicios.

GALP aportó copia de la grabación de la llamada telefónica, en la que se constata cómo un hombre que se identifica como el marido de la afectada dice tener su autorización para realizar la contratación, confirmando todos los datos personales necesarios para el alta.

Así mismo, GALP reconoce haber recibido una reclamación por escrito de la denunciante exponiendo que ha recibido la carta de bienvenida como cliente pero que ella no ha contratado nada. GALP le respondió a los 20 días informandole que el contrato ya se diera de baja, por cambio de comercializadora y que emitió una única factura en concepto de liquidación del servicio por importe de 12,91 €, relativos al consumo de gas.

El Director de la AEPD acordó iniciar, procedimiento sancionador a GALP por presunta infracción del artículo 6.1 de la LOPD, tipificada como grave, formulando GALP alegaciones en las que solicitó el archivo del expediente sancionador y, con carácter subsidiario, la imposición de las sanciones que pudieran corresponderle con arreglo a la escala prevista para las infracciones leves, a tenor de los artículos 45.5 y 45.4 de la LOPD. (es decir y para entendernos, una rebaja de la misma).

Como alegaciones, GALP manifestó lo siguiente:

  • La contratación se realizó con el marido de la denunciante, que en la grabación de la teleoperadora contesta “sí” cuando se le pregunta si está autorizado a realizar el cambio.
  • En la grabación, la teleoperadora informa al marido que recibirá en su domicilio copia del contrato como confirmación de la contratación, no se dice que sea necesaria la devolución firmada de dicho contrato para que la contratación se lleve a efecto (el art. 5 del Real Decreto 1906/1999, señala que es necesario que la contratación telefónica se acredite mediante cualquier medio que permita constatarla y GALP dispone de la grabación).
  • GALP dice haber adoptado medidas correctoras para que no vuelvan a suceder situaciones similares, que su actuación para la resolución fue rápida y con la diligencia debida.

Para comprender bien esta “rocambolesca” sanción, hay que señalar que el artículo 6 de la LOPD hace referencia a la necesidad de contar con el  consentimiento del afectado para que puedan tratarse sus datos personales (salvo las excepciones contempladas en la ley).

El procedimiento sancionador hace referencia a distintos sentencias, de las que no vamos a hablar para no extendernos, todas ellas en torno al derecho del afectado a consentir sobre la recogida y uso de sus datos y a saber de los mismos, destacando que si bien consta un CD con la grabación, no existe el consentimiento inequívoco, debiendo recordar, que es al denunciado al que corresponde la carga de la prueba del consentimiento del titular de los datos.

Según la AEPD, en el presente caso no ha quedado acreditado el consentimiento de la titular de los datos y la entidad denunciada no aportó prueba fehaciente del consentimiento inequívoco de la denunciante para el tratamiento de sus datos.

Aun cuando se trata de una infracción grave, la AEPD analizó la actuación estimando aspectos como la culpabilidad, la inobservancia o la imprudencia al desatender un deber legal, todo ello ponderando el grado de profesionalidad del sujeto denunciado en el manejo de datos de carácter personal (obvio por su actividad y tamaño).

Finalmente la Agencia indicó que “en el asunto que nos ocupa no existe ninguna duda de la presencia del elemento subjetivo de la culpabilidad, concretado en la grave falta de diligencia demostrada por GALP, responsable del fichero al que se incorporaron los datos de la denunciante asociados al alta de un contrato de gas, sin contar con su consentimiento de la titular del servicio” señalando también que “no adoptó con ocasión de la contratación la diligencia que es exigible, máxime cuando el desarrollo de su actividad profesional conlleva un continuo tratamiento de datos personales”.

Respecto a la “rebaja en la sanción”, aún cuando se consideró que si bien no había una cualificada disminución de la culpabilidad del imputado, “ya que la empresa por su actividad debería estar habituada al tratamiento de datos personales y por ello ser especialmente diligente (mantuvo a la denunciante con una deuda pendiente a fecha 22 de octubre de 2012, (fecha de entrada en esta Agencia de la solicitud de información por parte de la inspección”) la AEPD consideró el comportamiento e intervención de un tercero (supuesto marido)circunstancia que ha podido influir en los hechos valorados y aunque no exime a la entidad denunciada de responsabilidad  permite aplicar las previsiones contenidas en el citado artículo 45.5 b) de la LOPD” (rebaja en la sanción).

En definitiva, creo que nos habrá quedado claro que nuestra pareja no es quién para autorizar una contratación en nuestro nombre en base a la LOPD.