AEPD | Eurovima Consulting S,L.

Entradas

Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD

17 de diciembre de 2013/2 Comentarios/en Blog/por Eurovima Consulting S.L.

Some Flying Envelopes – By renjith krishnan in www.freedigitalphotos.net

Cuántas veces escuchamos aquello de que recibimos correos comerciales que no hemos solicitado, ni sabemos de dónde han obtenido nuestros datos, vamos, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica). Pues muchas, pero al final muy pocas personas se deciden a denunciar. La cuestión es que si se denuncia, la Agencia Española de Protección de Datos (AEPD) actúa, analizando lo sucedido y sancionando cuando, como en el caso que nos ocupa, se incumple la normativa.

Este ha sido el caso de una persona que recibió un correo electrónico (comunicación comercial) de una empresa a la que si bien había comprado un producto en su día, decidió posteriormente que no quería recibir información comercial de dicha empresa y se dio de baja en la suscripción del newsletter al objeto precisamente de no recibir más correos electrónicos o comunicaciones comerciales de dicha empresa, llegando el denunciante a recibir un correo que confirmaba haber procesado su petición y que sus datos de contacto quedaba excluidos de la lista de clientes que admitían e-mail.

Posteriormente recibió un nuevo correo electrónico con contenido comercial, denunciándolo ante la AEPD, quien en su resolución de 21-11-2013, señala que “Spam” es cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

Como la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, finalmente la AEPD impuso una sanción de 600 € por infracción de dicho artículo.

La cuantía de la sanción fue baja, ya que si bien pudo llegar a ser de hasta 30.001€, la AEPD concluyó que:

Fuese considerada leve (al no tratarse de un envío masivo a distintos destinatarios, ni más de tres envíos al denunciante).
Le fuesen aplicados los criterios de graduación de las sanciones recogidos en el artículo 40, y en este caso por la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos.

Como habitualmente indicamos a nuestros clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos) y seguir los procedimientos que tenemos implementados y recogidos en nuestro documento de seguridad y sobre todo, que antes de hacer cualquier campaña de marketing que suponga una comunicación comercial nos consultéis previamente, que nuestro servicio de asesoría está a vuestra disposición para señalaros las implicaciones normativas tanto de la LOPD como de la LSSI y la manera de gestionarlo de forma correcta y segura.

Fallo de seguridad de acceso a Banca On-line supone una sanción de 6.000€ a ING de la AEPD | Eurovima Consulting | Asesoría LOPD Madrid

Fallo de seguridad de acceso a banca on-line supone una sancion de 6.000€ a ING de la AEPD

14 de noviembre de 2013/1 Comentario/en Blog/por Eurovima Consulting S.L.

Es evidente que siempre van a existir fallos en los sistemas de seguridad, por mucho que nos empeñemos en poner todos los medios y medidas de seguridad de índole técnica y organizativas a disposición del negocio y por ende de los datos de carácter personalde los que somos responsables.

Image by Stuart Miles in www.freedigitalphotos.net

No obstante es muy importante una vez que se producen, tratar de solucionarlos de manera ágil, analizando lo sucedido y tomando las medidas correctoras adecuadas para que no se vuelvan a repetir.

Algo así es lo que le ha sucedió a una entidad bancaria que ha sido sancionada (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) a raíz de la denuncia presentada por dos particulares en julio de 2012, en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Los hechos fueron reconocidos por la entidad durante la inspección

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, que fue escalada a los responsables correspondientes siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada.

Los representantes de la entidad entregaron a los inspectores de la Agencia la impresión del registro de la incidencia, que incluía un informe descriptivo de la misma, así como las acciones emprendidas por la entidad para su resolución y las mejoras de seguridad que fueron recomendadas.

Según el informe, la incidencia se produjo a raíz de una “subida a producción” de una nueva versión de la aplicación que da soporte al acceso de los clientes mediante el canal móvil y que en ningún caso hubo acceso a datos de contraseñas ni era posible la realización de operaciones bancarias ni de ningún tipo. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

Posteriormente el Director de la AEPD acordó el inicio de procedimiento sancionador por presunta infracción del artículo 9.1 LOPD, tipificada como grave en su artículo 44.3.h), pudiendo ser sancionada con multa de 40.001€ a 300.000€.

La entidad bancaria presentó alegaciones reconociendo de manera plena, voluntaria y espontánea los hechos, declarándose responsable y culpable del fallo de seguridad, acogiéndose a la aplicación del artículo 45.5, es decir, que le fuese de aplicación la escala relativa a las infracciones leves y en su grado mínimo, dadas las circunstancias concurrentes, vamos a una “rebaja”.

AEPD imputó la vulneración del principio de seguridad de datos personales (multa de 40.000€ a 300.000€)

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

[pullquote]La Agencia consideró aplicar el artículo 45.4, en base a la actuación de la entidad, siendo la sanción únicamente de 6.000€ [/pullquote]

La Agencia valoró los criterios, tanto favorables como adversos, de graduación de las sanciones e impuso una sanción de 6.000€, ya que consideró lo siguientes aspectos:

Favorables: “Cuando el infractor haya reconocido espontáneamente su culpabilidad”, por lo que es posible la aplicación de una sanción de “la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. Además, la entidad actuó de manera diligente al regularizar la situación creada de manera inmediata, poniendo remedio a fallo cometido tan pronto tuvo conocimiento de los hechos ocurridos, estableciendo contacto con los afectados y adoptando nuevas medidas de seguridad para evitar que el fallo pudiera repetirse.
Adversos: es evidente que en el desarrollo de la actividad empresarial que desempeña la entidad denunciada se ve obligada a un continuo tratamiento de datos personales tanto de sus clientes como de terceros, toda vez que se trata de una gran entidad financiera por cuota de mercado.

En definitiva, hemos de recordar que las medidas de seguridad no son infalibles y ante fallos en la seguridad hemos de actuar de manera ágil y contundente, realizando un buen análisis e implementando las medidas correctoras oportunas.

Los datos de carácter personal que nuestros clientes nos confían son lo suficientemente importantes como para revisar nuestras medidas de seguridad de manera recurrente. Como no tendremos el tamaño ni los recursos de una entidad bancaria, recordar que como consultoría y asesoría os ayudamos y asesoramos sobre cómo hacerlo.

Haz marketing pero consulta a tu asesoría protección de datos

Haz marketing, pero antes consulta a tu asesoría de protección de datos

5 de noviembre de 2013/0 Comentarios/en Blog/por Rafael Varela

Stock Illustration

Está visto que algunos hacen cualquier cosa por captar datos de potenciales clientes, pero ya sabemos que en este mundo del marketing, no todo vale, como hemos podido comprobar en la resolución dictada el pasado 30 de septiembre de 2013, por la Agencia Española de Protección de Datos (AEPD) vista la denuncia presentada por un particular en diciembre de 2012, en la que denunciaba haber recibido dos correos electrónicos comerciales no deseados en el que se le solicitaban la aportación de datos personales de terceros, al menos 5 contactos, a cambio de recibir una participación en la lotería de Navidad.

La inspección confirma la veracidad de la denuncia.

La AEPD realiza una inspección a la entidad denunciada, verificando que tiene registrado un fichero de Clientes y que la campaña de marketing se hizo enviando correos a sus Clientes, con un enlace en el que debían cumplimentar los datos de captación solicitados de amistades/conocidos, en definitiva de terceros (nombre, apellidos, dirección correo electrónico y población), datos que posteriormente usarían para enviar correos electrónicos ofreciendo sus productos a esos nuevos «contactos».

Parece ser que la campaña no tuvo mucho éxito, apenas 47 registros, desistiendo la empresa en realizar finalmente la campaña, borrando los datos durante el proceso de inspección. La AEPD también comprobó que los correos electrónicos del denunciante figuraban en el fichero de clientes del denunciado, demostrando con una factura que contenía sus datos por una compra anterior.

Recordar que el artículo 6.1 de la LOPD señala que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La sentencia habla de doble incumplimiento, pero le aplica el apercibimiento.

Lo curioso de la sentencia, es que la AEPD señala que se producen dos incumplimientos, uno por el envío del correo electrónico cuya finalidad no era la adecuada a su relación como Cliente, es decir, ofrecer sus productos sino “como medio de captación de potenciales clientes a cambio de un beneficio (en este caso, un décimo de lotería)” y otro incumplimiento cuando “la entidad se nutre de una base de datos para envío de publicidad, ya que no tiene el consentimiento de estas personas para tener sus datos.”

La sentencia señala que ha quedado acreditado el tratamiento de los datos del denunciante y de los terceros que fueron incluidos en su base de datos, sin presentar prueba alguna que demuestre el consentimiento ni justificar que concurre alguna de las excepciones al artículo 6.1

En concreto, la AEPD, con arreglo al artículo 45.6 (ley de economía sostenible) decide apercibir a la entidad, ya que se trata de una infracción grave, no había sido apercibido o sancionado hasta la fecha y al no haber obtenido beneficios de la misma, sin exigir que la entidad denunciada adopte medida correctora alguna dada la infracción.

En definitiva, antes de hacer una campaña de marketing, consulta con tu asesoría en protección de datos

Habitualmente recalcamos a nuestros clientes, que antes de realizar cualquier tipo de campaña y por el medio que sea, nos consulten sobre la misma, ya que contar con la opinión de expertos en materia de marketing puede ser importante para alcanzar los objetivos perseguidos, pero hacerlo con expertos consultores en protección de datos nos evitará situaciones como la comentada o peores, bien en forma de sanción económica o afectando a nuestra imagen.

NEWS 30/Octubre/2013 Memoria 2012 de la Agencia Española de Protección de Datos

30 de octubre de 2013/0 Comentarios/en NEWS/por Eurovima Consulting S.L.

La Agencia Española de Protección de Datos (AEPD) acaba de publicar su Memoria de 2012.
Como datos llamativos que reflejan la memoria podemos destacar que la cuantía total de las sanciones ascendió a 21 millones de euros, las denuncias aumentaron 12% respecto al 2011, el 73% de las sanciones son a empresas del sector telecomunicaciones y que tres de los principales operadores suman el 71% del importe global de multas y sin embargo las multas a la banca descienden un 27%.
En el ámbito de empresas-entidades privadas, más del 34% de las denuncias concluyeron en apercibimiento, es decir, tiron de orejas y a subsanar el error (por estar adecuados a la normativa, pero haber incurrido en falta no muy grave), por eso la importancia de cuando menos adecuarse a la Ley Orgánica de Protección de Datos (LOPD).
Las multas por SPAM (correos electrónicos sin copia oculta) y correos o comunicaciones electrónicas no solicitadas/autorizadas han aumentado un 77% en el último año, un dato muy significativo y con el que hay que tener especial cuidado a la hora de hacer nuestra actividad comercial y alegar que el servicio es realizado por un tercero no nos exime de nuestra responsabilidad.
A la vista de éstos datos y de la seriedad de las sanciones si necesitas cualquier tipo de asesoría en materia de Protección de Datos o de adecuación a la LSSI, nuestro departamento de Asesoría LOPD, LSSI está disponible para ti.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

9 de octubre de 2013/8 Comentarios/en Blog/por Eurovima Consulting S.L.

En primer lugar, queremos señalar que no entraremos en “moralinas”, aunque se hace difícil no hacerlo y por eso os pedimos vuestros comentarios y opiniones sobre este tema que la verdad es que no deja indiferente a quien lo haya conocido.

Hablamos de la reciente Sentencia de la Audiencia Nacional (AN) del 26 de septiembre de 2013

El origen de los hechos: Niño de 12 años enseña video de contenido sexual a compañera en el colegio.

Teenagers Reading Sms Stock Photo By Ambro in Ffreedigitalphotos.net

En un colegio de Madrid, un alumno de 12 años, muestra con su teléfono movil a una compañera, un video de contenido sexual y la alumna “denuncia” los hechos ante el director del centro. El centro que ya había requisado el móvil del menor por tenerlo encendido en clase, ante la denuncia de la alumna llama al menor para verificar la misma.

Con la ayuda de una persona del centro del área de “informática”, acceden al teléfono solicitándole el numero PIN, no está claro si de manera “forzada” o voluntaria, revisando la navegación en Internet del día en cuestión verificando el acceso en ese día a dos páginas Web de contenido sexual.

De esta situación, no son informados los padres del menor y por tanto se hace sin el consentimiento de los mismos.

Las denuncias: Primero en el juzgado, después ante la AEPD y finalmente el recurso.

Una vez conocidos los hechos, el padre del menor los denunció en el Juzgado pero fue archivado, al igual que el recurso de apelación, ya que no se apreció la violación del derecho a la intimidad, privacidad y secreto de las comunicaciones, pese a que “De las pruebas practicadas en dichas diligencias penales se deprendería, como acreditado judicialmente, el acceso inconsentido a datos personales del menor por parte del director del centro y, en concreto, la revisión del archivo histórico de navegación por internet …”

Viendo denegada su petición, los padres deciden denunciar estos mismos hechos ante la Agencia Española de Protección de Datos (AEPD), que denegó incoación de procedimiento, dando lugar a la presentación del recurso contencioso administrativo sobre cuyo fallo estamos comentando.

El padre del menor alegaba que se había vulnerado la intimidad del menor, que no había prestado su consentimiento (recordemos que son los padres, en el caso de menores de 14 años según el artículo 13 del reglamento LOPD) para la revisión del historial de navegación, alegando cesión de datos personales (navegación en Internet).

La resolución de la AEPD; dos las razones para archivar la denuncia

La Agencia dictó resolución de archivo al considerar que no es de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, es decir, quedarían fuera del ámbito la LOPD (lo considera actividad doméstica) aunque este argumento ha sido rechazado por el Tribunal.

La segunda razón que la Agencia señaló para el archivo fue que el acceso al terminal móvil estaría amparado por la Ley Orgánica 2/2006 de Educación, y las normas propias del centro educativo, es decir, que existirían normas específicas que habilitarían el acceso al citado móvil.

En lo referente al carácter domestico, hay varias resoluciones/informes de la propia AEPD, en los que se establecen criterios sobre esta cuestión al igual que la Directiva Europea, no obstante en el caso que nos ocupa el Tribunal ha manifestado que no se pueden considerar como tales y por tanto no le es aplicable la exclusión (bofetada a la AEPD).

Conclusiones a la sentencia

Una vez que la AN le da la razón al padre, en cuanto a que al ser un menor de 14 años debería de existir el consentimiento de sus padres para el acceso o tratamiento de sus datos, posteriormente se la deniega al señalar que en realidad hay que “conjugar el contexto real en que se produjo”, es decir, “en la protección de los derechos de esa niña o de otros menores del centro”, recurriendo a una frase que en el ámbito de la LOPD se usa mucho “el derecho a la protección de datos no es ilimitado…. puede quedar constreñido por la presencia de otros derechos en conflicto” y por tanto el auto habla de realizar una detallada ponderación de los mismos.

Vamos, que hay que ponderar el derecho del resto de compañeros, frente al derecho del menor acusado por el acceso a su móvil o dicho de una manera más simple ponderar el derecho del resto de compañeros frente las actuaciones realizadas por el colegio.

Además, la sentencia señala que resulta de aplicación que el tratamiento de datos sea necesario para el cumplimiento de una misión de interés público, y para la AN la actividad educativa «no solo puede calificarse de interés público sino de verdadero servicio público«.

En definitiva, que el director debe preservar en aras del servicio público que presta y al que ha sido encomendado, la protección de otros menores del centro escolar, amparado en satisfacer un interés legítimo o que la misión educativa del colegio prevalece sobre el derecho a la protección de datos.

Esta cuestión estamos seguros que algunos la consideraréis excesiva y “moralinas” aparte, nos gustaría que la valoraseis y para ello esperamos vuestros comentarios, dejando abierta algunas cuestiones, a la espera de si el padre recurre ante el Tribunal Supremo, como:

¿Qué derecho debe prevalecer: el derecho del resto de compañeros o el del menor acusado por el acceso a su móvil?
¿La misión educativa del colegio prevalece sobre el derecho a la intimidad de sus alumnos?
¿El interés legítimo atribuido al centro es excesivo?
¿Dónde ponemos los límites al interés legítimo?

Otros artículos sobre el tema:

Amedeo Maturo: El Director de Instituto: el Omnipotente.

Francisco Javier Sempere: Audiencia Nacional: acceso del Director de un centro educativo al móvil de un alumno.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies”

26 de septiembre de 2013/0 Comentarios/en Blog/por Eurovima Consulting S.L.

Llevamos casi un mes, desde que Pablo Fernández Burgueño publicara un post, hablando de cookies, sobre una “ley de cookies” que ni siquiera es tal, pero que a todos nos sirve para referirnos a la cuestión que ha suscitado un montón de artículos y opiniones en el tiempo transcurrido.

Foto tomada por Frédéric BISSON de Flickr

Todo ello motivado por el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa que no cumple lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSI o LSSICE y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo.

En cualquier caso, no se trata de desgranar dicho artículo ni rebuscar comparaciones con otras aplicaciones similares a este tema, como las que el Reino Unido realiza, pues para ello todos hemos leído muy buenos artículos en estos días, que son tantos que no tiene sentido enlazarlos.

Entre tanto, se encuentra en tramitación el Proyecto de la Ley General de Telecomunicaciones que afectará entre otros aspectos a algunas cuestiones que la Ley de Servicios de la Sociedad de la Información (LSSI) regula, incluidas las cookies y que de manera breve hemos ya señalado en nuestro post de hace una semana (Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones).

La cuestión es que veremos una vez publicada, como quedará la misma, si bien es cierto que hay cuestiones que son interesantes como el hecho de crear la figura del apercibimiento, al igual que en la LOPD, pues suprimir la sanción “directa” y en su lugar apercibir al sujeto responsable para que adopte las medidas correctoras oportunas, genera algo de tranquilidad.

Después de leer y hablar mucho sobre este tema, muchos comentan: ¿qué hay detrás de la “Ley de Cookies”?

Volviendo al tema principal, hemos de reconocer que después de leer mucho y hablar, bien con gente de la calle como con expertos en la materia, tanto desde la perspectiva comercial, técnica y jurídica como desde el punto de vista del usuario/consumidor o de las empresas que hacen e-commerce y de los profesionales en la red, muchos han llegado a la misma y simple conclusión: ¿qué hay detrás de la “Ley de Cookies”?

Hubo quien lo comparó con la cerveza, ya que al que le gusta la cerveza de siempre, la sin, la 0,0 puede ser sustitutiva cuando no hay más remedio, pero para el que la quiera “con” la seguirá comprando aunque haya “ley seca”, aunque vistas las sanciones que les podrían caer, me temo que no se atreverán.

Si hubo coincidencia, en manifestar su incredulidad ante una normativa que consideran excesiva en cuanto a su aplicación, pues afecta a “grandes y pequeños”, como a que crea indefensión respecto a otros mercados/proveedores a los que no les aplica ninguna normativa tan estricta.

Ya hemos comentado en otros artículos que la privacidad que establece la normativa LOPD y LSSI enfocada en un mercado global hace que cuestiones “locales“ como esta, marquen el propio devenir de la privacidad, ya que se refleja en términos de COMPETITIVIDAD cobrando un papel demasiado importante, cuando se trata de perder o dejar de ganar dinero frente a competidores que tienen otras reglas. Volvemos a la cuestión ya planteada en otras ocasiones, es decir, sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Si hay quién se empadrona en alguna localidad por el mero hecho de ahorrase unos euros, que no haremos otros por optar a ganarlos de manera más sencilla o con menos dolores de cabeza.

Opiniones dispares y para todos los gustos

Otros opinan que cumplirla puede penalizar el SEO a día de hoy, otros que ni las propias Administraciones Públicas la cumplen, que las redes sociales como Facebook no pueden alojar páginas de empresa o que la publicidad compartamental estaría muerta y en último caso que se puede recurrir a la confianza legítima ante una sanción.

Hay otros que opinan, ya de una manera algo más privada, que se trata de algún cambalache-compadreo entre alguno que quiere aprovechar el contexto para ganarse unos euros mediante la venta de scripts o vaya usted a saber, pues tal y como estamos cualquier cosa se puede esperar.

Pero es que además, la calle opina que al Usuario en realidad esto le suena a chino y aceptará sin leer y comprender cualquier texto (legal o no) que le permita satisfacer su necesidad en la red, aunque eso sí, la sanción caerá sobre el españolito de a pié.

Nuestra opinión

La opinión de Eurovima, es una mezcla de todas ellas pero en cualquier caso lo que nos preocupa es conocer exactamente qué y cómo hacer para cumplirla, al menor coste posible para todos y cuanto antes mejor, pero teniendo claro que ello no puede suponer una perdida en confianza y competitividad, ya que no nos lo podemos permitir.

En cualquier caso, veremos cuando finalice la resolución, que es lo que ha opinado al respecto la Agencia, mientras continúa en el aire esa cuestión: ¿qué hay detrás de la “Ley de Cookies”?, de las que os pedimos vuestra opinión.

¿Puede nuestra pareja autorizar una contratación en nuestro nombre en base a la LOPD?

23 de septiembre de 2013/1 Comentario/en Blog/por Eurovima Consulting S.L.

Queremos comentaros el reciente y curioso procedimiento sancionador PS/00213/2013, publicado por la Agencia Española de Protección de Datos (AEPD) cuya resolución ha sido sancionar a la entidad GALP, con una multa de 20.000€ por infracción del artículo 6.1 de la LOPD relativo al “consentimiento del afectado”, tipificada como grave (multa de 40.001€ a 300.000€.).

Businessman Signing Document Stock Photo
By Naypong in www.freedigitalphotos.net

La denuncia es de un particular que dice recibió una carta de GALP comunicándole que había sido dada de alta en los suministros de luz y gas, todo ello sin su conocimiento ni consentimiento (ni de ninguno de sus familiares).

La AEPD solicitó información a GALP que manifestó tener datos de la denunciante, pues existió para el suministro de gas un contrato con fecha de alta 11/07/2012 al 11/08/2012 (baja por cambio de comercializadora), indicando que la contratación fue telefónica y a través de una tercera empresa con la que tenía suscrito un Contrato para la Prestación de Servicios.

GALP aportó copia de la grabación de la llamada telefónica, en la que se constata cómo un hombre que se identifica como el marido de la afectada dice tener su autorización para realizar la contratación, confirmando todos los datos personales necesarios para el alta.

Así mismo, GALP reconoce haber recibido una reclamación por escrito de la denunciante exponiendo que ha recibido la carta de bienvenida como cliente pero que ella no ha contratado nada. GALP le respondió a los 20 días informandole que el contrato ya se diera de baja, por cambio de comercializadora y que emitió una única factura en concepto de liquidación del servicio por importe de 12,91 €, relativos al consumo de gas.

El Director de la AEPD acordó iniciar, procedimiento sancionador a GALP por presunta infracción del artículo 6.1 de la LOPD, tipificada como grave, formulando GALP alegaciones en las que solicitó el archivo del expediente sancionador y, con carácter subsidiario, la imposición de las sanciones que pudieran corresponderle con arreglo a la escala prevista para las infracciones leves, a tenor de los artículos 45.5 y 45.4 de la LOPD. (es decir y para entendernos, una rebaja de la misma).

Como alegaciones, GALP manifestó lo siguiente:

La contratación se realizó con el marido de la denunciante, que en la grabación de la teleoperadora contesta “sí” cuando se le pregunta si está autorizado a realizar el cambio.
En la grabación, la teleoperadora informa al marido que recibirá en su domicilio copia del contrato como confirmación de la contratación, no se dice que sea necesaria la devolución firmada de dicho contrato para que la contratación se lleve a efecto (el art. 5 del Real Decreto 1906/1999, señala que es necesario que la contratación telefónica se acredite mediante cualquier medio que permita constatarla y GALP dispone de la grabación).
GALP dice haber adoptado medidas correctoras para que no vuelvan a suceder situaciones similares, que su actuación para la resolución fue rápida y con la diligencia debida.

Para comprender bien esta “rocambolesca” sanción, hay que señalar que el artículo 6 de la LOPD hace referencia a la necesidad de contar con el consentimiento del afectado para que puedan tratarse sus datos personales (salvo las excepciones contempladas en la ley).

El procedimiento sancionador hace referencia a distintos sentencias, de las que no vamos a hablar para no extendernos, todas ellas en torno al derecho del afectado a consentir sobre la recogida y uso de sus datos y a saber de los mismos, destacando que si bien consta un CD con la grabación, no existe el consentimiento inequívoco, debiendo recordar, que es al denunciado al que corresponde la carga de la prueba del consentimiento del titular de los datos.

Según la AEPD, en el presente caso no ha quedado acreditado el consentimiento de la titular de los datos y la entidad denunciada no aportó prueba fehaciente del consentimiento inequívoco de la denunciante para el tratamiento de sus datos.

Aun cuando se trata de una infracción grave, la AEPD analizó la actuación estimando aspectos como la culpabilidad, la inobservancia o la imprudencia al desatender un deber legal, todo ello ponderando el grado de profesionalidad del sujeto denunciado en el manejo de datos de carácter personal (obvio por su actividad y tamaño).

Finalmente la Agencia indicó que “en el asunto que nos ocupa no existe ninguna duda de la presencia del elemento subjetivo de la culpabilidad, concretado en la grave falta de diligencia demostrada por GALP, responsable del fichero al que se incorporaron los datos de la denunciante asociados al alta de un contrato de gas, sin contar con su consentimiento de la titular del servicio” señalando también que “no adoptó con ocasión de la contratación la diligencia que es exigible, máxime cuando el desarrollo de su actividad profesional conlleva un continuo tratamiento de datos personales”.

Respecto a la “rebaja en la sanción”, aún cuando se consideró que si bien no había una cualificada disminución de la culpabilidad del imputado, “ya que la empresa por su actividad debería estar habituada al tratamiento de datos personales y por ello ser especialmente diligente (mantuvo a la denunciante con una deuda pendiente a fecha 22 de octubre de 2012, (fecha de entrada en esta Agencia de la solicitud de información por parte de la inspección”) la AEPD consideró el comportamiento e intervención de un tercero (supuesto marido) “circunstancia que ha podido influir en los hechos valorados y aunque no exime a la entidad denunciada de responsabilidad permite aplicar las previsiones contenidas en el citado artículo 45.5 b) de la LOPD” (rebaja en la sanción).

En definitiva, creo que nos habrá quedado claro que nuestra pareja no es quién para autorizar una contratación en nuestro nombre en base a la LOPD.

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones

17 de septiembre de 2013/0 Comentarios/en Blog/por Eurovima Consulting S.L.

El pasado día 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modifica entre otros, algunos aspectos de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI o LSSICE), del 11 de julio de 2002.

Application Mobile Stock ImageBy emptyglass in www.freedigitalphotos.net/

Entre las modificaciones de la LGT referentes a la LSSI de manera resumida, cabe resaltar las siguientes:

Las comunicaciones comerciales y la persona física o jurídica que la realiza deben ser identificadas. Se elimina la obligación de identificar los e-mails, SMS, o cualquier comunicación comercial mediante la palabra “Publi” o “publicidad”.
Se crea la figura del apercibimiento, al igual que en la LOPD (en el caso de infracciones graves y leves y si concurren ciertos atenuantes). En estos casos se suprime la sanción “directa” y en su lugar, se apercibe al sujeto responsable para que adopte las medidas correctoras oportunas.
Será una infracción grave el envío insistente de comunicaciones comerciales no solicitadas (envíos repetidos a unos pocos destinatarios) y también el envío de más de tres comunicaciones en un año.
Los usuarios podrán emplear el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento de la recepción de comunicaciones comerciales (darse de baja vía e-mail).
Se suprime la exigencia de que el usuario realice una acción expresa, cuando instale o actualice el navegador, para manifestar su consentimiento al uso de cookies. Sobre las cookies, también se aclaran cuestiones que afectan a las obligaciones y los responsables y se sanciona ignorar la voluntad del usuario de no consentir su uso o seguir tratando sus datos aun cuando el usuario haya revocado el consentimiento prestado con anterioridad.

Bueno, pues una vez ya en marcha, vamos a ver las consecuencias que puedan tener estos cambios (si las tiene), sobre todo en lo referente a aclarar aspectos sobre el consentimiento de cookies (principalmente de las cookies estadísticas y analíticas) que tanto ha dado que hablar en las últimas semanas.

Como hemos escuchado en las redes sociales, hubiese sido deseable que la AEPD se hubiese pronunciado al respecto, de manera pública, en cualquier caso, si Ustedes lo quieren hacer, esperamos encantados sus comentarios.

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

29 de agosto de 2013/0 Comentarios/en Blog/por Eurovima Consulting S.L.

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) y Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

By graur codrin in Freedigitalphotos.net

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

27 de agosto de 2013/0 Comentarios/en NEWS/por Eurovima Consulting S.L.

By sheelamohan in Freedigitalphotos.net

La AEPD inicia procedimiento sancionador a una empresa por la instalación de cookies sin autorización (previa) del usuario.

Según hemos podido leer en las redes sociales y en multitud de noticias y blogs relacionados, la Agencia Española de Protección de Datos (AEPD) ha notificado el inicio de un procedimiento sancionador a una empresa por instalar cookies sin la autorización del usuario de la web de la empresa en cuestión.

De confirmarse, estaríamos ante una primera resolución de este tipo, en la que se analizará la aplicación del artículo 22.2 de la LSSI en el que se establece lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” .

Hemos querido subrayar la palabra después ya que en ella está la clave de la denuncia (o eso es lo que cuando menos se ha estado indicando, ya que no hemos tenido acceso al procedimiento).

La cuestión es que parece ser que las cookies investigadas son de las más empleadas en páginas webs, como son Google Analytics, Maps o WordPress, es decir, muy comunes.

Recordemos que la AEPD, presentó en abril de este año la primera guía en Europa sobre el uso de cookies, elaborada junto a los representantes de la industria y que de facto, parece que ha supuesto el pistoletazo de salida para su cumplimiento, ya que ha sido en ese momento cuando las empresas han incorporado en sus páginas web la información sobre el uso de las cookies, información que parece ser no cumple con la normativa, si bien, trataremos de analizarlo con calma y por supuesto esperaremos expectantes la resolución que publique la AEPD.