Entradas

NEWS Enero/2014. El 28 de enero, como cada año se celebra el día de la Protección de Datos en Europa

Cada año se celebra en esta fecha el día de la Protección de Datos en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

EUROVIMA se suma a la difusión de este día en apoyo de la Protección de Datos, reiterándoles que como siempre, si necesitan cualquier información sobre el tema o tienen cualquier duda, que somos expertos en materia de Protección de Datos, privacidad, adecuación de páginas web a la LSSI, comercio electrónico y que nuestro departamento de Asesoría LOPDLSSI está disponible para Usted.

Pueden encontrar más información en la página web de la Agencia Española de Protección de Datos

ProtegetusdatosG

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr

Fallo de seguridad de acceso a Banca On-line supone una sanción de 6.000€ a ING de la AEPD | Eurovima Consulting | Asesoría LOPD Madrid

Fallo de seguridad de acceso a banca on-line supone una sancion de 6.000€ a ING de la AEPD

Es evidente que siempre van a existir fallos en los sistemas de seguridad, por mucho que nos empeñemos en poner todos los medios y medidas de seguridad de índole técnica y organizativas a disposición del negocio y por ende de los datos de carácter personalde los que somos responsables.

No obstante es muy importante una vez que se producen, tratar de solucionarlos de manera ágil, analizando lo sucedido y tomando las medidas correctoras adecuadas para que no se vuelvan a repetir.

Algo así es lo que le ha sucedió a una entidad bancaria que ha sido sancionada  (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) a raíz de la denuncia presentada por dos particulares en julio de 2012, en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Los hechos fueron reconocidos por la entidad durante la inspección

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, que fue escalada a los responsables correspondientes siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada.

Los representantes de la entidad entregaron a los inspectores de la Agencia la impresión del registro de la incidencia, que incluía un informe descriptivo de la misma, así como las acciones emprendidas por la entidad para su resolución y las mejoras de seguridad que fueron recomendadas.

Según el informe, la incidencia se produjo a raíz de una “subida a producción” de una nueva versión de la aplicación que da soporte al acceso de los clientes mediante el canal móvil y que en ningún caso hubo acceso a datos de contraseñas ni era posible la realización de operaciones bancarias ni de ningún tipo. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

Posteriormente el Director de la AEPD acordó el inicio de procedimiento sancionador por presunta infracción del artículo 9.1 LOPD, tipificada como grave en su artículo 44.3.h), pudiendo ser sancionada con multa de 40.001€ a 300.000€.

La entidad bancaria presentó alegaciones reconociendo de manera plena, voluntaria y espontánea los hechos, declarándose responsable y culpable del fallo de seguridad, acogiéndose a la aplicación del artículo 45.5, es decir, que le fuese de aplicación la escala relativa a las infracciones leves y en su grado mínimo, dadas las circunstancias concurrentes, vamos a una “rebaja”.

AEPD imputó la vulneración del principio de seguridad de datos personales (multa de 40.000€ a 300.000€)

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

[pullquote]La Agencia consideró aplicar el artículo 45.4, en base a la actuación de la entidad, siendo la sanción únicamente de 6.000€ [/pullquote]

La Agencia valoró los criterios, tanto favorables como adversos, de graduación de las sanciones e impuso una sanción de 6.000€, ya que consideró lo siguientes aspectos:

  • Favorables: “Cuando el infractor haya reconocido espontáneamente su culpabilidad”, por lo que es posible la aplicación de una sanción de “la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. Además, la entidad actuó de manera diligente al regularizar la situación creada de manera inmediata, poniendo remedio a fallo cometido tan pronto tuvo conocimiento de los hechos ocurridos, estableciendo contacto con los afectados y adoptando nuevas medidas de seguridad para evitar que el fallo pudiera repetirse.
  • Adversos: es evidente que en el desarrollo de la actividad empresarial que desempeña la entidad denunciada se ve obligada a un continuo tratamiento de datos personales tanto de sus clientes como de terceros, toda vez que se trata de una gran entidad financiera por cuota de mercado.

En definitiva, hemos de recordar que las medidas de seguridad no son infalibles y ante fallos en la seguridad hemos de actuar de manera ágil y contundente, realizando un buen análisis e implementando las medidas correctoras oportunas.

Los datos de carácter personal que nuestros clientes nos confían son lo suficientemente importantes como para revisar nuestras medidas de seguridad de manera recurrente. Como no tendremos el tamaño ni los recursos de una entidad bancaria, recordar que como consultoría y asesoría os ayudamos y asesoramos sobre cómo hacerlo.

Bienvenidos. No olviden su ración vitamínica LOPD…

bkg_fondowebmeeting_1024x768En estos tiempos presentes, en los que parece que todo está un tanto oscuro, nos gustaría poner un poco de luz, cuando menos en lo que podamos y nos corresponde; La Privacidad y la Protección de Datos de carácter personal.

Hemos actualizado nuestra web, la hemos puesto más o menos al día en cuanto a su contenido “2.0” (que no sé muy bien que significa, pero todo el mundo habla de ello) ya que deseábamos ofrecer a nuestros Clientes y Visitantes un lugar en el que poder encontrar información, contenido y actualidad en lo referente a la LOPD, LSSI y en general al mundo de las nuevas tecnologías desde una perspectiva jurídica y de aplicación en nuestra Organizaciones.

Aunque hemos tardado, esperamos que os guste el resultado, que iremos completando y mejorando en la medida que el trabajo lo permita. Si encontráis algo que os llame la atención esperamos vuestros comentarios, si tenéis alguna duda o sugerencia también.

La dirección y el equipo colaborador de EUROVIMA CONSULTING, os dan las gracias por vuestra fidelidad y desea agradecer de manera especial a nuestro equipo webmaster que ha diseñado la presente web y con su experiencia nos ha ayudado a ponerla en marcha, al igual que a nuestro proveedor INFORMATICOS.CO que ha sido paciente, nos aloja y cuida. Por último y no menos importante, agradecer a Pablo Valenzuela que desde MYEGOO también ha participado en la primera puesta en escena de EUROVIMA en la red y a la Dirección y Personal de BITAM por sus múltiples aportaciones.