Entradas

¿Pueden las comunidades de vecinos publicar morosos en su tablón de anuncios?

/2 Comentarios/en /por
www.freedigitalphotos.net

www.freedigitalphotos.net

Por mucho que se empeñen las comunidades de vecinos en sus recursos ante la Agencia Española de Protección de Datos (AEPD), no hay justificación alguna que les ampare para publicar datos de sus vecinos morosos en el tablón de anuncios de la comunidad salvo que puedan acreditar que ha existido de manera previa intentos de notificación al deudor y por tanto dejando constancia de no quedarle otra opción.

Este aspecto queda reflejado en que de los 16 Recursos de Reposición sobre Procedimientos de Apercibimiento publicados por la AEPD con fecha de resolución en 2013, cinco de ellos fueron motivados por este  incumplimiento y los 5 recursos fueron desestimados.

El deber de secreto y la cesión de datos

La AEPD en sus resoluciones de apercibimiento consideró el incumplimiento del artículo 10 de la LOPD por parte de las comunidades de propietarios, que establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Recordemos que, la finalidad del artículo 10 es la del deber de guardar secreto, y por tanto evitar que se realicen filtraciones de los datos no consentidas por sus titulares, siendo ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a la que se refiera dicha información.

Por ello, su publicación supone una cesión de datos de carácter personal según establece la LOPD en su artículo 3 (toda revelación de datos realizada a una persona distinta del interesado) si bien el artículo 11 establece que será posible la cesión inconsentida de los datos en caso de que la misma se encuentre amparada o fundamentada en lo establecido por una norma con rango de ley (artículo. 11.2 a LOPD), en este caso recurriendo al amparo de las obligaciones impuestas por la Ley de propiedad Horizontal (LPH).

¿Cómo debe actuar la Comunidad?

El artículo 16.2 de la LPH en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios, permite dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de las deudas. No obstante para hacerlo público en un tablón de anuncios (bajo llave) será obligatorio acreditar los intentos previos que no han logrado la notificación al deudor y dejar constancia de no existir otra alternativa posible.

Además, hemos de tener presente que dicha publicación ha de cumplir con una serie de requisitos formales adicionales y que como máximo permanezca publicada sólo durante el tiempo estrictamente necesario para que produzca plenos efectos jurídicos, es decir, los tres días naturales que establece el artículo 9.h de la LPH.

En los 5 casos desestimados por la AEPD se ha dado la circunstancia de no haber acreditado la imposibilidad de notificar por medios alternativos dicha deuda, considerando la AEPD en todos los procedimientos que el tablón de anuncios de la Comunidad es susceptible por su ubicación, del acceso público de terceras personas ajenas a la Comunidad de propietarios, como personas alquiladas o visitas de cualquier tipo y por tanto incumple el deber de secreto.

Cuando se habla de la conveniencia de que las comunidades de vecinos realicen las actuaciones que tengan que ver con el tratamiento de datos de carácter personal de sus vecinos y el cumplimiento de la LOPD, no solo se trata de aplicar el sentido común, hemos también de aplicar la normativa en la materia.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría.

Enlace a los procedimientos:

¿Cómo devolver una compra realizada en internet; el derecho de desistimiento?

/0 Comentarios/en /por
Internet Shopping by renjith krishnan in www.freedigitalphotos.net

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

En estos días en los que con la llegada de Nochebuena y Reyes, hay una frenética carrera por llegar a tiempo con las compras y en un momento en el que cada vez los consumidores optamos más por hacerlas por internet (e-commerce) conviene recordar algunas cuestiones importantes que como consumidores o vendedores tenemos que tener presentes.

Todo ello en un momento en el que múltiples y recientes encuestas señalan que el número de consumidores vía internet sería mayor si las garantía de seguridad en el pago, la claridad en las condiciones de compra y la protección de sus datos personales, fuese mayor.

La importancia de las “condiciones de compra”

Por eso hoy queremos comentaros uno de estos aspectos; la claridad en las condiciones de compra, que en España establece y regula la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI) sin olvidarnos de otras normativas de aplicación como la ley General para la Defensa de los Consumidores y Usuarios (modificación en trámite parlamentario) la LOPD o la Ley de Ordenación del Comercio Minorista.

Entre otras obligaciones previas y posteriores a la contratación, hay que recordar que la LSSI establece el deber de información sobre los datos identificativos del negocio, las condiciones de uso, del precio final del producto, es decir, si el precio incluye impuestos, cuales son los gatos de envío, etc.

Respecto a las condiciones generales de compra o contratación electrónica, estas han de incluirse en la página web y han de ser muy claras,  y cuando menos han de informarnos sobre:

  1. Lenguas en las que el contrato se podrá formalizar.
  2. Vigencia de las condiciones de compra
  3. Responsabilidad del Clientes y el Vendedor
  4. Precios, formas de pago y envío.
  5. Aceptación de la compra.
  6. Derecho de desistimiento, consistente en la devolución del producto comprado sin necesidad de justificar su decisión sin penalización, en un plazo determinado.
  7. Archivo del Contrato: si se va a archivar y si será accesible.
  8. Confirmar la aceptación de la compra mediante un acuse de recibo (correo electrónico)
  9. Legislación aplicable y jurisdicción. Lugar de celebración del contrato.

Pero, ¿que sucede cuando recibimos nuestro producto, comprado online y no nos satisface o se ajusta a las expectativas que motivaron nuestra decisión de compra?

De manera resumida, tenemos que tener muy presente a la hora de conocer nuestros derechos para devolver cualquier compra realizada por internet lo siguiente:

  • Actualmente en España el derecho de desistimiento establece que el plazo legal de devolución es de 7 días, ampliable de manera automática a 90 días en el caso en el que el vendedor no hubiese informado al consumidor sobre su derecho de devolución.
  • El plazo de devolución se inicia cuando se recibe el producto, debiendo el vendedor reembolsar el importe como máximo en 30 días.
  • Los gastos de envío derivados de una devolución tendrán que estar claramente identificados en las condiciones de compra o de lo contrario, será el vendedor quien correrá con dichos gastos.
  • No existirá ningún contrato entre el comprador y vendedor hasta que el pedido haya sido expresamente aceptado por ambos. Si la oferta no es aceptada y se hubiese cargado algún pago, ha de ser devuelto en su totalidad.
  • En algunos casos, no se podrá ejercitar el derecho de desistimiento como, por ejemplo, si es un producto personalizado, o se trata de bienes que por su naturaleza, no puedan ser devueltos o puedan deteriorarse o caducar con rapidez. Otros productos como grabaciones sonoras, de vídeo, de discos y programas informáticos, prensa diaria, publicaciones periódicas, servicios de apuestas y loterías tampoco darán lugar al derecho de desistimiento.

En todo caso, hay que recordar que el pasado 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modificará el texto refundido de la Ley General para la Defensa de los Derechos de los Consumidores y Usuarios y otras leyes complementarias en materia de contratación a distancia, que pretende adaptar la norma española a la Directiva Europea sobre Derechos de los Consumidores, reforzando la seguridad jurídica de la venta por comercio electrónico, que por ejemplo prevé que el plazo de ejercicio del derecho de desistimiento se amplíe a 14 días.

Os informaremos de las nuevas reglas o las modificaciones que se produzcan en la contratación electrónica y telefónica, una vez que entren en vigor. Hasta entonces si tenéis alguna duda sobre cualquier cuestión relacionada con el comercio electrónico, sabéis que nuestro servicio de Asesoría LOPD y LSSI está a vuestra disposición. Ahh, y felices compras¡¡

Para saber más os dejamos un enlace de un informe publicado por INTECO:

INTECO-CERT: Informe «Adecuación a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico»

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD

/2 Comentarios/en /por
Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Some Flying Envelopes – By renjith krishnan in www.freedigitalphotos.net

Cuántas veces escuchamos aquello de que recibimos correos comerciales que no hemos solicitado, ni sabemos de dónde han obtenido nuestros datos, vamos, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica). Pues muchas, pero al final muy pocas personas se deciden a denunciar. La cuestión es que si se denuncia, la Agencia Española de Protección de Datos (AEPD) actúa, analizando lo sucedido y sancionando cuando, como en el caso que nos ocupa, se incumple la normativa.

Este ha sido el caso de una persona que recibió un correo electrónico (comunicación comercial) de una empresa a la que si bien había comprado un producto en su día, decidió posteriormente que no quería recibir información comercial de dicha empresa y se dio de baja en la suscripción del newsletter al objeto precisamente de no recibir más correos electrónicos o comunicaciones comerciales de dicha empresa, llegando el denunciante a recibir un correo que confirmaba haber procesado su petición y que sus datos de contacto quedaba excluidos de la lista de clientes que admitían e-mail.

Posteriormente recibió un nuevo correo electrónico con contenido comercial, denunciándolo ante la AEPD, quien en su resolución de 21-11-2013, señala que “Spames cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

Como la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, finalmente la AEPD impuso una sanción de 600 € por infracción de dicho artículo.

La cuantía de la sanción fue baja, ya que si bien pudo llegar a ser de hasta 30.001€, la AEPD concluyó que:

  • Fuese considerada leve (al no tratarse de un envío masivo a distintos destinatarios, ni más de tres envíos al denunciante).
  • Le fuesen aplicados los criterios de graduación de las sanciones recogidos en el artículo 40, y en este caso por la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos.

Como habitualmente indicamos a nuestros clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos) y seguir los procedimientos que tenemos implementados y recogidos en nuestro documento de seguridad y sobre todo, que antes de hacer cualquier campaña de marketing que suponga una comunicación comercial nos consultéis previamente, que nuestro servicio de asesoría está a vuestra disposición para señalaros las implicaciones normativas tanto de la LOPD como de la LSSI y la manera de gestionarlo de forma correcta y segura.

Reflexiones sobre la jornada “cómo ejercer la patria potestad en internet" | Eurovima Consulting | Asesoría LOPD Madrid

Reflexiones sobre la jornada: Cómo ejercer la patria potestad en Internet

/0 Comentarios/en /por

Será coincidencia o no, pero la pasada semana los menores han estado muy presentes en nuestra actividad, por una parte se celebró el Día Universal del Niño, por otra hemos publicado el post Don Psico en: Un caso de adicción a las nuevas tecnologías en el que también los menores eran los protagonistas, y además asistimos a una jornada muy interesante celebrada en Madrid, excelentemente organizada por Orange y la Asociación Profesional Española de la Privacidad (APEP) con el título: “Cómo ejercer la patria potestad en Internet«.

Reflexiones sobre la jornada “cómo ejercer la patria potestad en internet" | Eurovima Consulting | Asesoría LOPD Madrid

Beautiful Girl Hiding Her Face With Touch By stockimages in Freedigitalphotos.net

Es sobre el evento de lo que os queremos hablar, haciendo un breve resumen acompañado de algunas pequeñas reflexiones que hemos sacado de una jornada que congregó a expertos nacionales e internacionales tanto del ámbito público, como privado, que resultó muy instructiva aunque generase inquietantes reflexiones a los asistentes, no sólo como profesionales sino como padres y educadores.

Estamos en un momento en el que las nuevas tecnologías llegan cada vez de manera más temprana a los menores, los llamados “nativos digitales”, mientras los educadores, padres y formadores, en la mayoría de los casos, no tenemos capacidad de obtener las respuestas, ni sabemos cómo dotarles de las herramientas que les permitan afrontar su uso con las garantías necesarias, ni ofrecerles los mecanismos de defensa adecuados ante los peligros que conllevan.

Es lo que se conoce como “brecha generacional” o “brecha digital” en el ámbito del uso de las nuevas tecnologías.

Las nuevas tecnologías suscitan infinidad de preguntas con la particularidad de que los padres deben decidir qué papel han de jugar ellos, y la manera en la que han de intervenir desde el minuto cero, es decir, desde el momento en que decidimos que las usen.

La cuestión es, que muy probablemente las usen antes de que nos demos cuenta o incluso antes de lo que nosotros quisiéramos. Si los 10 años es la edad de inicio de acceso a Internet, es evidente que a esa edad los niños tienen todavía una gran «inmadurez«.

Las distintas intervenciones y las preguntas de los asistentes giraron en torno a cuestiones que al final plantearon debates como:

  • ¿A qué edad deben tener acceso los menores a esas nuevas tecnologías?
  • ¿Debe el ámbito educativo actuar para formar a los “nativos digitales”? ¿Debería existir formación específica?
  • ¿Qué se le debe de exigir a la industria? ¿Cómo conjugamos las leyes nacionales frente a las internacionales y los elementos que marcan la competitividad? ¿Cómo certificar las edades de acceso a las redes sociales?
  • ¿Cómo modulamos la privacidad del menor? ¿Qué espacio de privacidad debemos concederles? ¿A partir de qué momento-edad?
  • Si en cuestiones de tecnologías, redes sociales, etc., un menor sabe más que el adulto, ¿a quién se va a dirigir si probablemente no va a saber responderle? Y sobre todo, ¿qué pasa cuando … “todo falla”?.

En definitiva, son tantas cuestiones que merecen un ámbito específico de análisis cada una, por eso únicamente podemos dejaros algunas de las conclusiones que hemos obtenido de manera general y que os hacemos llegar:

La edad de inicio

Lo importante es que cuando se inicie, lo haga acompañado y a ser posible desde el principio, pues a los 13-14 años muy probablemente no querrán que les acompañemos.

Dónde

Si el inicio del acceso del menor a las nuevas tecnologías, Internet, redes sociales,…, es desde casa y en concreto desde los dispositivos de los padres (de los que el 90% conocen sus contraseñas de acceso), será en casa donde deban encontrar ayuda y enseñanza, que ha de continuar en la escuela y por supuesto en la universidad.

Cómo

Hemos de incidir en que aprecien su intimidad y respeten la ajena. También resaltar un comentario de Toñi Quiñones (vocal de la Asociación Espiral, Educación y Tecnología) en el que reflexionaba sobre si por ejemplo para sacarnos el carnet de conducir vamos previamente a una autoescuela, porqué no hacemos lo mismo para iniciarnos en “Internet”, adquiriendo igualmente un aprendizaje previo.

Qué

De la misma manera, se insistió en la necesidad de explicarles los conceptos por los que nos preocupamos de ellos, pues no saben ni conocen el significado de los mismos. A los más pequeños hay que explicarles lo más elemental, desde que es un acoso. A otros que es el sexting, el ciberbullying, etc. pero además, también habrá que explicarles que pueden estar cometiendo un delito, pues hay falta de conciencia en ese sentido y la falsa creencia de impunidad, pues “como soy un menor, no me pasará nada”. Debemos explicarles que la responsabilidad existe, distinta a la del adulto, pero existe.

Los recursos y las herramientas

Para que las usen en caso de necesidad, pues probablemente no se atrevan a contárnoslo pero sí sabrán que pueden acudir a esa web en donde contar su problema o que usen el botón de denuncia/pánico. Hemos de usar los sistemas de control parental.

Implicación/Participación

Escasa de los padres en los talleres y sesiones que se realizan. Nos preocupa que se descarguen aplicaciones sin permiso, pero sobre todo si cuestan dinero.

Vida Real vs On line

Si en la vida real no compartimos con extraños, ni contamos cosas sobre nuestros gustos, aficiones, etc, ¿no deberíamos hacer lo mismo en la vida on line?

Finalmente dejaros un dato curioso:

Si pudiésemos considerar a Facebook como un país, por su número de seguidores, sería el tercer país del mundo en la actualidad y debe ser por eso que tiene sus propias leyes, que criticadas o no, son aceptadas o de lo contrario “estás fuera”.

Por eso queremos suscitar debate y conocer vuestras opiniones sobre todas estas cuestiones que en el evento se trataron y como de costumbre si necesitáis de nuestros servicios de asesoría en materia de privacidad (LOPD), estamos a vuestra disposición.

 

 

Fallo de seguridad de acceso a Banca On-line supone una sanción de 6.000€ a ING de la AEPD | Eurovima Consulting | Asesoría LOPD Madrid

Fallo de seguridad de acceso a banca on-line supone una sancion de 6.000€ a ING de la AEPD

/1 Comentario/en /por

Es evidente que siempre van a existir fallos en los sistemas de seguridad, por mucho que nos empeñemos en poner todos los medios y medidas de seguridad de índole técnica y organizativas a disposición del negocio y por ende de los datos de carácter personalde los que somos responsables.

No obstante es muy importante una vez que se producen, tratar de solucionarlos de manera ágil, analizando lo sucedido y tomando las medidas correctoras adecuadas para que no se vuelvan a repetir.

Algo así es lo que le ha sucedió a una entidad bancaria que ha sido sancionada  (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) a raíz de la denuncia presentada por dos particulares en julio de 2012, en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Los hechos fueron reconocidos por la entidad durante la inspección

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, que fue escalada a los responsables correspondientes siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada.

Los representantes de la entidad entregaron a los inspectores de la Agencia la impresión del registro de la incidencia, que incluía un informe descriptivo de la misma, así como las acciones emprendidas por la entidad para su resolución y las mejoras de seguridad que fueron recomendadas.

Según el informe, la incidencia se produjo a raíz de una “subida a producción” de una nueva versión de la aplicación que da soporte al acceso de los clientes mediante el canal móvil y que en ningún caso hubo acceso a datos de contraseñas ni era posible la realización de operaciones bancarias ni de ningún tipo. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

Posteriormente el Director de la AEPD acordó el inicio de procedimiento sancionador por presunta infracción del artículo 9.1 LOPD, tipificada como grave en su artículo 44.3.h), pudiendo ser sancionada con multa de 40.001€ a 300.000€.

La entidad bancaria presentó alegaciones reconociendo de manera plena, voluntaria y espontánea los hechos, declarándose responsable y culpable del fallo de seguridad, acogiéndose a la aplicación del artículo 45.5, es decir, que le fuese de aplicación la escala relativa a las infracciones leves y en su grado mínimo, dadas las circunstancias concurrentes, vamos a una “rebaja”.

AEPD imputó la vulneración del principio de seguridad de datos personales (multa de 40.000€ a 300.000€)

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

[pullquote]La Agencia consideró aplicar el artículo 45.4, en base a la actuación de la entidad, siendo la sanción únicamente de 6.000€ [/pullquote]

La Agencia valoró los criterios, tanto favorables como adversos, de graduación de las sanciones e impuso una sanción de 6.000€, ya que consideró lo siguientes aspectos:

  • Favorables: “Cuando el infractor haya reconocido espontáneamente su culpabilidad”, por lo que es posible la aplicación de una sanción de “la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. Además, la entidad actuó de manera diligente al regularizar la situación creada de manera inmediata, poniendo remedio a fallo cometido tan pronto tuvo conocimiento de los hechos ocurridos, estableciendo contacto con los afectados y adoptando nuevas medidas de seguridad para evitar que el fallo pudiera repetirse.
  • Adversos: es evidente que en el desarrollo de la actividad empresarial que desempeña la entidad denunciada se ve obligada a un continuo tratamiento de datos personales tanto de sus clientes como de terceros, toda vez que se trata de una gran entidad financiera por cuota de mercado.

En definitiva, hemos de recordar que las medidas de seguridad no son infalibles y ante fallos en la seguridad hemos de actuar de manera ágil y contundente, realizando un buen análisis e implementando las medidas correctoras oportunas.

Los datos de carácter personal que nuestros clientes nos confían son lo suficientemente importantes como para revisar nuestras medidas de seguridad de manera recurrente. Como no tendremos el tamaño ni los recursos de una entidad bancaria, recordar que como consultoría y asesoría os ayudamos y asesoramos sobre cómo hacerlo.

Haz marketing pero consulta a tu asesoría protección de datos

Haz marketing, pero antes consulta a tu asesoría de protección de datos

/0 Comentarios/en /por

Está visto que algunos hacen cualquier cosa por captar datos de potenciales clientes, pero ya sabemos que en este mundo del marketing, no todo vale, como hemos podido comprobar en la resolución dictada el pasado 30 de septiembre de 2013, por la Agencia Española de Protección de Datos (AEPD) vista la denuncia presentada por un particular en diciembre de 2012, en la que denunciaba haber recibido dos correos electrónicos comerciales no deseados en el que se le solicitaban la aportación de datos personales de terceros, al menos 5 contactos, a cambio de recibir una participación en la lotería de Navidad.

La inspección confirma la veracidad de la denuncia.

La AEPD realiza una inspección a la entidad denunciada, verificando que tiene registrado un fichero de Clientes y que la campaña de marketing se hizo enviando correos a sus Clientes, con un enlace en el que debían cumplimentar los datos de captación solicitados de amistades/conocidos, en definitiva de terceros (nombre, apellidos, dirección correo electrónico y población), datos que posteriormente usarían para enviar correos electrónicos ofreciendo sus productos a esos nuevos «contactos».

Parece ser que la campaña no tuvo mucho éxito, apenas 47 registros, desistiendo la empresa en realizar finalmente la campaña, borrando los datos durante el proceso de inspección. La AEPD también comprobó que los correos electrónicos del denunciante figuraban en el fichero de clientes del denunciado, demostrando con una factura que contenía sus datos por una compra anterior.

Recordar que el artículo 6.1 de la LOPD señala que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La sentencia habla de doble incumplimiento, pero le aplica el apercibimiento.

Lo curioso de la sentencia, es que la AEPD señala que se producen dos incumplimientos, uno por el envío del correo electrónico cuya finalidad no era la adecuada a su relación como Cliente, es decir, ofrecer sus productos sino “como medio de captación de potenciales clientes a cambio de un beneficio (en este caso, un décimo de lotería)” y otro incumplimiento cuando “la entidad se nutre de una base de datos para envío de publicidad, ya que no tiene el consentimiento de estas personas para tener sus datos.”

La sentencia señala que ha quedado acreditado el tratamiento de los datos del denunciante y de los terceros que fueron incluidos en su base de datos, sin presentar prueba alguna que demuestre el consentimiento ni justificar que concurre alguna de las excepciones al artículo 6.1

En concreto, la AEPD,  con arreglo al artículo 45.6 (ley de economía sostenible) decide apercibir a la entidad, ya que se trata de una infracción grave, no había sido apercibido o sancionado hasta la fecha y al no haber obtenido beneficios de la misma, sin  exigir que la entidad denunciada adopte medida correctora alguna dada la infracción.

En definitiva, antes de hacer una campaña de marketing, consulta con tu asesoría en protección de datos

Habitualmente recalcamos a nuestros clientes, que antes de realizar cualquier tipo de campaña y por el medio que sea, nos consulten sobre la misma, ya que contar con la opinión de expertos en materia de marketing puede ser importante para alcanzar los objetivos perseguidos, pero hacerlo con expertos consultores en protección de datos nos evitará situaciones como la comentada o peores, bien en forma de sanción económica o afectando a nuestra imagen.

NEWS 30/Octubre/2013 Memoria 2012 de la Agencia Española de Protección de Datos

/0 Comentarios/en /por

La Agencia Española de Protección de Datos (AEPD) acaba de publicar su Memoria de 2012.
Como datos llamativos que reflejan la memoria podemos destacar que la cuantía total de las sanciones ascendió a 21 millones de euros, las denuncias aumentaron 12% respecto al 2011, el 73% de las sanciones son a empresas del sector telecomunicaciones y que tres de los principales operadores suman el 71% del importe global de multas y sin embargo las multas a la banca descienden un 27%.
En el ámbito de empresas-entidades privadas, más del 34% de las denuncias concluyeron en apercibimiento, es decir, tiron de orejas y a subsanar el error (por estar adecuados a la normativa, pero haber incurrido en falta no muy grave), por eso la importancia de cuando menos adecuarse a la Ley Orgánica de Protección de Datos (LOPD).
Las multas por SPAM (correos electrónicos sin copia oculta) y correos o comunicaciones electrónicas no solicitadas/autorizadas han aumentado un 77% en el último año, un dato muy significativo y con el que hay que tener especial cuidado a la hora de hacer nuestra actividad comercial y alegar que el servicio es realizado por un tercero no nos exime de nuestra responsabilidad.
A la vista de éstos datos y de la seriedad de las sanciones si necesitas cualquier tipo de asesoría en materia de Protección de Datos o de adecuación a la LSSI, nuestro departamento de Asesoría LOPD, LSSI está disponible para ti.

Protección de datos personales, nuevo paso para el reglamento Europeo

/en /por

Aunque todavía falta para tener un reglamento Europeo de protección de datos, lentamente se van dando pasos para que en algún momento sea realidad y podamos contar con estándares globales de privacidad. Las palabras de la principal valedora de este largo proceso, la comisaría de Justicia Viviane Reding, sobre que exista «un continente, una norma y una interpretación de esa norma» van tomando cuerpo.

Otra cuestión es que dicho cuerpo y la realidad que aporte llegue a tiempo, venga a tapar las carencias normativas existentes y vaya a gustar o no a los actores implicados que van desde los usuarios, los afectados, emprendedores, pequeños operadores a los gigantes de Internet.

Sobre esas cuestiones ya nos hemos manifestado en distintos post pero en cualquier caso esa realidad será más cercana que la que actualmente marca la directiva de la EU del año 1995, es decir, de la “prehistoria” de Internet, redes sociales, la “nube”, las compras “online” y en general de las nuevas tecnologías de la información, que en España rige nuestra LOPD y su Reglamento de desarrollo.

Un nuevo paso en un momento en el que la privacidad está en boca de todos

Este nuevo paso lo dio ayer, día 21 de octubre de 2013, el Parlamento Europeo al aprobar el texto (enlace al texto completo de los 91 artículos del Reglamento con las enmiendas votadas ayer) de la propuesta de Reglamento de Protección de Datos, cuya aprobación llega tras meses de negociación, numerosas enmiendas, presiones de los “lobby” de turno y a los que hay que sumar el Dictamen Preliminar del Abogado General del TJUE sobre el ejercicio de derechos frente a buscadores de Internet (derecho al olvido) o los escándalos NSA-PRISM-SNOWDEN cuyas informaciones publicadas en los últimos días sobre espionajes a Francia, México o España, ya casi ni llaman la atención.

Bajo la “agitada” situación descrita, el «LIBE», Comité del Parlamento Europeo de Libertades Civiles, Justicia y Asuntos de Interior ha logrado un acuerdo sobre el texto que ahora debe ser consensuado entre el Parlamento, el Consejo y la Comisión (se supone que antes de las elecciones europeas de mayo de 2014).

En un primer análisis del texto que debería llevarnos hacia la armonización y modernización, cabe destacar lo siguiente:

  • El «derecho al olvido» parece ser quedará como el «derecho al borrado de datos», pudiendo exigir que dicha solicitud se haga llegar a las entidades a las que se hayan cedido o replicado los datos.
  • Se aboga por el uso de «pseudónimos» cuando se trate información personal sensible; datos disociados.
  • Se contemplan sanciones cuya cuantía puede llegar hasta 100 millones de euros o el 5% del volumen de negocio anual, pudiendo reclamar una indemnización la persona que haya sufrido daños derivados del incumplimiento normativo.
  • Cualquier infracción ha de ser notificada al regulador «sin dilaciones indebidas», suprimiendo las 24 horas que se habían propuesto.
  • Se permite el tratamiento de datos si son necesarios para la satisfacción del interés legítimo del responsable del tratamiento, salvo cuando deban prevalecer los intereses o derechos fundamentales y libertades de los interesados
  • El consentimiento para el tratamiento de datos ha de ser explícito y no será válido en el momento en que la finalidad del tratamiento deja de existir, debiendo ser sencillo e inmediato retirar dicho consentimiento en cualquier momento.
  • Se amplía el ámbito territorial para casos en los que el tratamiento ni siquiera se produzca en la UE (nube) pero cuando el tratamiento se refiera a bienes o servicios ofrecidos a personas residentes de la UE.
  • Facebook o Google no podrán transferir a USA datos tratados en la UE si no cuentan con autorización de un supervisor nacional, debiendo informar al usuario afectado

Aún quedan pasos para el reglamento y veremos si llegan a tiempo

La figura de las Autoridades de Supervisión, del DPO, PIA, las certificaciones o fijar límites a los perfiles también han sido redefinidas. Esperemos al siguiente paso, al inicio de la ronda de negociaciones a tres bandas: Parlamento, Consejo y la Comisión, para ver el texto definitivo y todo ello con unos márgenes de tiempo ya ajustados, pues las elecciones europeas del próximo mayo marcan la línea para que tengamos nuevo reglamento o demos un paso a un lado esperando que otros pasen y se sumen al “baile”.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

/8 Comentarios/en /por

En primer lugar, queremos señalar que no entraremos en “moralinas”, aunque se hace difícil no hacerlo y por eso os pedimos vuestros comentarios y opiniones sobre este tema que la verdad es que no deja indiferente a quien lo haya conocido.

Hablamos de la reciente Sentencia de la Audiencia Nacional (AN) del 26 de septiembre de 2013

El origen de los hechos: Niño de 12 años enseña video de contenido sexual a compañera en el colegio.

¿Quién ha accedido al móvil de mi niño? Yo, su director, y la AN me avala

Teenagers Reading Sms Stock Photo By Ambro in Ffreedigitalphotos.net

En un colegio de Madrid, un alumno de 12 años, muestra con su teléfono movil a una compañera, un video de contenido sexual y la alumna “denuncia” los hechos ante el director del centro. El centro que ya había requisado el móvil del menor por tenerlo encendido en clase, ante la denuncia de la alumna llama al menor para verificar la misma.

Con la ayuda de una persona del centro del área de “informática”, acceden al teléfono solicitándole el numero PIN, no está claro si de manera “forzada” o voluntaria, revisando la navegación en Internet del día en cuestión verificando el acceso en ese día a dos páginas Web de contenido sexual.

De esta situación, no son informados los padres del menor y por tanto se hace sin el consentimiento de los mismos.

Las denuncias: Primero en el juzgado, después ante la AEPD y finalmente el recurso.

Una vez conocidos los hechos, el padre del menor los denunció en el Juzgado pero fue archivado, al igual que el recurso de apelación, ya que no se apreció la violación del derecho a la intimidad, privacidad y secreto de las comunicaciones, pese a que “De las pruebas practicadas en dichas diligencias penales se deprendería, como acreditado judicialmente, el acceso inconsentido a datos personales del menor por parte del director del centro y, en concreto, la revisión del archivo histórico de navegación por internet …” 

Viendo denegada su petición, los padres deciden denunciar estos mismos hechos ante la Agencia Española de Protección de Datos (AEPD), que denegó incoación de procedimiento, dando lugar a la presentación del recurso contencioso administrativo sobre cuyo fallo estamos comentando.

El padre del menor alegaba que se había vulnerado la intimidad del menor, que no había prestado su consentimiento (recordemos que son los padres, en el caso de menores de 14 años según el artículo 13 del reglamento LOPD) para la revisión del historial de navegación, alegando cesión de datos personales (navegación en Internet).

La resolución de la AEPD; dos las razones para archivar la denuncia

La Agencia dictó resolución de archivo al considerar que no es de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, es decir, quedarían fuera del ámbito la LOPD (lo considera actividad doméstica) aunque este argumento ha sido rechazado por el Tribunal.

La segunda razón que la Agencia señaló para el archivo fue que el acceso al terminal móvil estaría amparado por la Ley Orgánica 2/2006 de Educación, y las normas propias del centro educativo, es decir, que existirían normas específicas que habilitarían el acceso al citado móvil.

En lo referente al carácter domestico, hay varias resoluciones/informes de la propia AEPD, en los que se establecen criterios sobre esta cuestión al igual que la Directiva Europea, no obstante en el caso que nos ocupa el Tribunal ha manifestado que no se pueden considerar como tales y por tanto no le es aplicable la exclusión (bofetada a la AEPD).

Conclusiones a la sentencia

Una vez que la AN le da la razón al padre, en cuanto a que al ser un menor de 14 años debería de existir el consentimiento de sus padres para el acceso o tratamiento de sus datos, posteriormente se la deniega al señalar que en realidad hay que “conjugar el contexto real en que se produjo”, es decir, “en la protección de los derechos de esa niña o de otros menores del centro”, recurriendo a una frase que en el ámbito de la LOPD se usa mucho “el derecho a la protección de datos no es ilimitado…. puede quedar constreñido por la presencia de otros derechos en conflicto” y por tanto el auto habla de realizar una detallada ponderación de los mismos.

Vamos, que hay que ponderar el derecho del resto de compañeros, frente al derecho del menor acusado por el acceso a su móvil o dicho de una manera más simple ponderar el derecho del resto de compañeros frente las actuaciones realizadas por el colegio.

Además, la sentencia señala que resulta de aplicación que el tratamiento de datos sea necesario para el cumplimiento de una misión de interés público, y para la AN la actividad educativa «no solo puede calificarse de interés público sino de verdadero servicio público«.

En definitiva, que el director debe preservar en aras del servicio público que presta y al que ha sido encomendado, la protección de otros menores del centro escolar, amparado en satisfacer un interés legítimo o que la misión educativa del colegio prevalece sobre el derecho a la protección de datos.

Esta cuestión estamos seguros que algunos la consideraréis excesiva y “moralinas” aparte, nos gustaría que la valoraseis y para ello esperamos vuestros comentarios, dejando abierta algunas cuestiones, a la espera de si el padre recurre ante el Tribunal Supremo, como:

  • ¿Qué derecho debe prevalecer: el derecho del resto de compañeros o el del menor acusado por el acceso a su móvil?
  • ¿La misión educativa del colegio prevalece sobre el derecho a la intimidad de sus alumnos?
  • ¿El interés legítimo atribuido al centro es excesivo?
  • ¿Dónde ponemos los límites al interés legítimo?

Otros artículos sobre el tema:

Amedeo Maturo: El Director de Instituto: el Omnipotente.

Francisco Javier Sempere: Audiencia Nacional: acceso del Director de un centro educativo al móvil de un alumno.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies”

/0 Comentarios/en /por

Llevamos casi un mes, desde que Pablo Fernández Burgueño publicara un post,  hablando de cookies, sobre una “ley de cookies” que ni siquiera es tal, pero que a todos nos sirve para referirnos a la cuestión que ha suscitado un montón de artículos y opiniones en el tiempo transcurrido.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Foto tomada por Frédéric BISSON de Flickr

Todo ello motivado por el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa que no cumple lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSI o LSSICE y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo.

En cualquier caso, no se trata de desgranar dicho artículo ni rebuscar comparaciones con otras aplicaciones similares a este tema, como las que el Reino Unido realiza, pues para ello todos hemos leído muy buenos artículos en estos días, que son tantos que no tiene sentido enlazarlos.

Entre tanto, se encuentra en tramitación el Proyecto de la Ley General de Telecomunicaciones que afectará entre otros aspectos a algunas cuestiones que la Ley de Servicios de la Sociedad de la Información (LSSI) regula, incluidas las cookies y que de manera breve hemos ya señalado en nuestro post de hace una semana (Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones). 

La cuestión es que veremos una vez publicada, como quedará la misma, si bien es cierto que hay cuestiones que son interesantes como el hecho de crear la figura del apercibimiento, al igual que en la LOPD, pues suprimir la sanción “directa” y en su lugar apercibir al sujeto responsable para que adopte las medidas correctoras oportunas, genera algo de tranquilidad.

Después de leer y hablar mucho sobre este tema, muchos comentan: ¿qué hay detrás de la “Ley de Cookies”?

Volviendo al tema principal, hemos de reconocer que después de leer mucho y hablar, bien con gente de la calle como con expertos en la materia, tanto desde la perspectiva comercial, técnica y jurídica como desde el punto de vista del usuario/consumidor o de las empresas que hacen e-commerce y de los profesionales en la red, muchos han llegado a la misma y simple conclusión: ¿qué hay detrás de la “Ley de Cookies”?

Hubo quien lo comparó con la cerveza, ya que al que le gusta la cerveza de siempre, la sin, la 0,0 puede ser sustitutiva cuando no hay más remedio, pero para el que la quiera “con” la seguirá comprando aunque haya “ley seca”, aunque vistas las sanciones que les podrían caer, me temo que no se atreverán.

Si hubo coincidencia, en manifestar su incredulidad ante una normativa que consideran excesiva en cuanto a su aplicación, pues afecta a “grandes y pequeños”, como a que crea indefensión respecto a otros mercados/proveedores a los que no les aplica ninguna normativa tan estricta.

Ya hemos comentado en otros artículos que la privacidad que establece la normativa LOPD y LSSI enfocada en un mercado global hace que cuestiones “locales“ como esta, marquen el propio devenir de la privacidad, ya que se refleja en términos de COMPETITIVIDAD cobrando un papel demasiado importante, cuando se trata de perder o dejar de ganar dinero frente a competidores que tienen otras reglas. Volvemos a la cuestión ya planteada en otras ocasiones, es decir, sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Si hay quién se empadrona en alguna localidad por el mero hecho de ahorrase unos euros, que no haremos otros por optar a ganarlos de manera más sencilla o con menos dolores de cabeza.

Opiniones dispares y para todos los gustos

Otros opinan que cumplirla puede penalizar el SEO a día de hoy, otros que ni las propias Administraciones Públicas la cumplen, que las redes sociales como Facebook no pueden alojar páginas de empresa o que la publicidad compartamental estaría muerta y en último caso que se puede recurrir a la confianza legítima ante una sanción.

Hay otros que opinan, ya de una manera algo más privada, que se trata de algún cambalache-compadreo entre alguno que quiere aprovechar el contexto para ganarse unos euros mediante la venta de scripts o vaya usted a saber, pues tal y como estamos cualquier cosa se puede esperar.

Pero es que además, la calle opina que al Usuario en realidad esto le suena a chino y aceptará sin leer y comprender cualquier texto (legal o no) que le permita satisfacer su necesidad en la red, aunque eso sí, la sanción caerá sobre el españolito de a pié.

Nuestra opinión

La opinión de Eurovima, es una mezcla de todas ellas pero en cualquier caso lo que nos preocupa es conocer exactamente qué y cómo hacer para cumplirla, al menor coste posible para todos y cuanto antes mejor, pero teniendo claro que ello no puede suponer una perdida en confianza y competitividad, ya que no nos lo podemos permitir.

En cualquier caso, veremos cuando finalice la resolución, que es lo que ha opinado al respecto la Agencia, mientras continúa en el aire esa cuestión: ¿qué hay detrás de la “Ley de Cookies”?, de las que os pedimos vuestra opinión.