Entradas

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan

¡2015! Feliz Año, Conectividad y Privacidad, si nos dejan - Eurovima Consulting

Sexy Target Stock Photo – Photo by Salvatore Vuono. in FreeDigitalPhotos.net

Vamos cerrando el 2014, que en líneas generales consideramos que ha sido un buen año, aunque tampoco podemos decir que haya sido como para recordar.

Un año en el que hemos asistido a la compra de WhatsApp por Facebook, al adiós de Windows XP o al ataque a Sony y los ciberataques masivos, al estancamiento de las Google Glass y al despegue de todo tipo de App´s, de la impresora 3D y de los Wearables, a la incertidumbre del Bitcoin o al año en el que la UE respaldó el derecho al olvido y hace a Google responsable del tratamiento de datos personales.

Los menores hablan en un idioma distinto al de los padres

Son nativos digitales enseñados por inmigrantes digitales y por tanto hablan idiomas distintos. En todo caso, aunque parezca que no, creemos que ha sido un buen año en cuanto a los avances en materia de prevención e información hacia los menores en materia de privacidad y seguridad, aunque el ciberacoso en cualquiera de sus modalidades, aumenta en la medida en que la mensajería instantánea y las Redes Sociales se apoderan de parte de sus vidas y por ello hay que perseverar en ello.

La cuestión es que de en todos esos acontecimientos citados hay un denominador común, la privacidad y la seguridad en un mundo/mercado cada vez más global y online, en el que parece que hemos avanzado poco a nivel de regulación, cuando menos la española/europea, y que en lo que hemos tratado de avanzar, ni siquiera está claro.

La Unión Europea sigue sin aprobar el nuevo marco regulatorio en materia de protección de datos

Desde el punto de vista de la privacidad, ha sido un año convulso marcado principalmente por los coletazos del “viejo” tema del espionaje NSA-SNODWEN, en el que hemos visto como ni siquiera ese terremoto ha acelerado el proceso final que haga que tengamos en la Unión Europea un nuevo marco regulatorio y sigamos con nuestra “vieja-local” LOPD.

Nos espían, lo asumimos y casi aceptamos, pues no somos capaces de ponernos de acuerdo para regularlo.

Otro gran acontecimiento ha sido la reforma de la Ley de Propiedad Intelectual, cuyo “éxito” se resume en que su tramitación ha sido accidentada, aprobada sin consenso y sin tener claro el uso y en qué manera va a afectar, no a los presuntos delincuentes contra los que pretende regular, sino al resto de usuarios de Internet.

La defensa de los derechos de autor se ha mezclado con la llamada “Tasa Google” o “canon AEDE”, ha terminado con el cierre de Google News, una herramienta que al final ayudaba a los propios editores a generar tráfico a sus páginas web.

Sobre los “piratas”, aquellos que serán perseguidos por facilitar enlaces a contenidos no autorizados, generando un “daño”, veremos la manera en que se identificará a los usuarios por la vía civil.

Esta es nuestra visión resumida del 2014. Desde EUROVIMA os seguiremos informando de estas y otras cuestiones que sean de actualidad e interés, en el ámbito que engloba la tecnología, la privacidad y la seguridad.

Aprovechamos para desearos un gran año.

Agencia Española de Protección de Datos | Eurovima Consulting S.L.

LOPD, MEMORIA AEPD: Las Sanciones en 2013 suben un 6% hasta 22,3 millones€

El pasado día 13 de octubre de 2014, la Agencia Española de Protección de Datos (AEPD) publicó su memoria anual, en la que se recogen las actuaciones más significativas, entre otras las relativas a las sanciones impuestas.

Pocos aspectos llaman la atención, para aquellos que venimos siguiendo la actividad diaria de la Agencia, pues la línea de actuación se mantiene, si bien a modo de resumen destacaremos algunos aspectos.

 

Mayor sensibilidad de ciudadanos y Organizaciones:

El conocimiento y la importancia que tanto ciudadanos como organizaciones manifiestan por el cumplimiento normativo sigue en aumento, cuestión que se refleja en el incremento de:

  • El número de consultas realizadas (en el que las relativas a la cesión de datos son las más realizadas).
  • Los Ficheros inscritos,
  • La solicitud de informes
  • Consolidación en el nº de denuncias y reclamaciones presentadas por los ciudadanos (por ejemplo, la demanda sobre la cancelación de datos de los ciudadanos ha crecido un 8%).
  • Se ha consolidado las reclamaciones sobre el llamado “derecho al olvido en Internet”, si bien, será en este 2014 cuando las cifras van a ser particularmente elevadas.

 

Las multas: cuantías, gravedad, normativa infringida y sectores más sancionados

Hay un dato muy curioso, y es que si bien el número de denuncias baja un 1,7%, la cuantía de las mismas sube el 6% y eso que en más del 80% de los casos, la AEPD aplicó los criterios de moderación y atenuación de sanciones previsto en la LOPD, aunque sí es cierto, que en el procedimiento contra Google se declararon 3 infracciones por una sanción de 900.000€ en total.

Según la gravedad, el 90,85% han sido infracciones leves, el 9,15% graves y no han existido infracciones muy graves.

Según la Ley infringida, el 93,9% de las infracciones corresponden a la LOPD, el 5,8% a la LSSI y apenas el 0,3% a la LGT.

Sectores más sancionados: Las denuncias siguen afectando en mayor medida a las empresas de los mismos sectores que en años anteriores, si bien se producen algunas variaciones que señalamos:

  1. Telecomunicaciones (15 millones€). Lo que supone un 67% del total frente al 73% del total en 2012
  2. Empresas del sector de suministro y comercialización de agua y energía (2,1 millones€). Sube hasta el 9% frente al 6% del 2012. Pasa de la tercera a la segunda posición.
  3. Entidades Financieras (1,8 millones€) Baja hasta el 8% desde el 13,5% del año 2012.

 

Otros datos de interés: Videovigilancia, apercibimiento y Administraciones Públicas

Destacar también el número de denuncias presentadas sobre la videovigilancia con 918 actuaciones de investigación (el 11,7% del total) que acapara el 60% de los procedimientos de apercibimiento.

Significativa es también el caso de las Administraciones Públicas, con un incremento del 52,6% en el número de infracciones declaradas, cuyo incremento es especialmente significativo en el ámbito Autonómico.

 Puede consultar la memoria completa en este enlace

Presentacion EUROVIMA_Desayuno AEGAMA_2_abril_2014

LSSICE y LOPD: Que debo saber si tengo una página web

Presentacion EUROVIMA_Desayuno AEGAMA_2_abril_2014Este miércoles día 2 de abril, organizamos un desayuno de trabajo en AEGAMA, Asociación de Empresarios Gallegos en Madrid, calle Orense 10, de 9:30 a 11 h. al que os invitamos (gratuito previa inscripción).

El objetivo es informar a todos aquellos que tienen una página web, aunque sea solo presencial, sobre la normativa que les afecta, es decir:

  1. Sobre Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).
  2. Como afecta desde el punto de vista de aplicación de la LOPD (protección de datos personales)

Explicaremos cómo adecuar tu página web en función de la actividad que desarrolles y también si haces comercio electrónico.

Animaros y animar a quién tenga pensado crear su página web o ya la tenga pero no adecuada a la normativa.

Se trata de un evento gratuito pero las plazas son limitadas.

Mas información en el 91 446 79 62 y 91 556 23 79.

Gracias.

 


En Protección de Datos, asumir la culpabilidad y alegar un error no indulta la sanción de AEPD (1.200€)

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Hace poco, en concreto en diciembre de 2013, escribíamos un artículo titulado: “Si un Cliente es baja de tu newsletter, no le envíes más correo. Sanción de la AEPD y hoy nuevamente volvemos a escribir para incidir en una situación muy similar, que concluyó con una sanción de 1.200€ de la Agencia Española de Protección de Datos (AEPD).

Hablamos de la enésima sanción de la AEPD por el envío de correos comerciales no solicitados, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica).

En este caso, queremos resaltar que por una parte el denunciado reconoció su culpabilidad y por otra los argumentos que el denunciado alegó para tratar de librarse de la multa. Pero antes de entrar a valorarlos, vayamos por partes.

La denuncia:

Nos encontramos ante el “típico” caso de una persona que recibió un par de correos electrónicos (comunicación comercial) de una empresa de la que nunca había sido cliente ni había mantenido contacto alguno, a la que posteriormente les notificó mediante un email que le diesen de baja de su base de datos e indicasen cuando les había autorizado para recibir su publicidad.

Según la denunciante, no obtuvo respuesta y siguió recibiendo sus emails (hay que recordar que la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas).

La Agencia solicita información a la entidad, señalando que la dirección IP desde la que se enviaron los correos, estuvo asignada esos días y a esas horas a la denunciada (verificando lo indicado en la denuncia).

Las alegaciones de la Entidad denunciada:

Como respuesta a la solicitud de información del inspector de la AEPD, la empresa denunciada remitió un escrito en el que manifestaron, entre otras cuestiones, lo siguiente:

  • Que la dirección de correo electrónico de la denunciante se incluyó por error de un miembro de su personal en dos correos informativos que remiten frecuentemente a antiguos clientes, clientes que les solicitan información y empresas con las que tienen una relación habitual.
  • El origen del dato de la dirección de correo electrónico es una consulta realizada en Internet, aunque no disponen de acreditación del consentimiento prestado por el reclamante para la remisión de correos comerciales.
  • No han recibido solicitud alguna del reclamante solicitando el ejercicio de derechos ARCO.

Posteriormente la AEPD inició procedimiento sancionador por la presunta infracción del artículo 21 de la LSSI, tipificada como leve (cuya sanción puede llegar a los 30.000€), a la que la denunciada presentó alegaciones, reiterando y reconociendo que “por error de un miembro de nuestro personal la dirección de correo electrónico a la que se hace referencia se incluyó en dos de los correos informativos que remitimos frecuentemente a antiguos clientes, clientes que nos solicitan información …“  y que “ha existido un error puntual en el proceso de tratamiento de la información y rogamos tengan en consideración que no se ha actuado en ningún caso de mala fe. Así mismo esta empresa aumentará sus esfuerzos por controlar las actuaciones de nuestro personal en el cumplimiento de la normativa.…”.

Una vez la entidad denunciada reconoce los hechos, la agencia resuelve y le sanciona con 1.200€, aplicando una disminución en la cuantía de la sanción:

Al haber reconocido los hechos y la responsabilidad derivada,  y en aplicación del artículo 8.1 del Real Decreto 1398/93 que señala que “Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda”, la Agencia resuelve desestimar su alegato sobre que “obtuvo la dirección de correo destinataria de la red internet….de una fuente accesible al público (la página web de la denunciante)”, ya que la AEPD considera que “ni tenía la autorización previa y expresa y tampoco una relación comercial previa y por tanto ha resultado probado que el denunciado envío dos comunicaciones comerciales por medios electrónicos incumpliendo lo dispuesto en el art. 21.1 de la LSSI”.

No obstante, la Agencia aplica los criterios de graduación de las sanciones ante la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos por la entidad denunciada imponiendo una sanción de 1.200 €.

En definitiva, asumir el error ha servido para que la Agencia simplificase el procedimiento, pero no para considerar las alegaciones de que se trató de un “error” cometido por un empleado o que tuviese legitimidad para el envío por el simple hecho de  que el origen del dato de la dirección de correo electrónico fuese una consulta realizada en Internet.

Una vez más, queremos recordar a nuestros lectores y Clientes, ser muy cuidadosos con la gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos). Hay que seguir los procedimientos previstos y recogidos en el documento de seguridad y sobre todo, que es mejor una consulta previa a nuestro servicio de asesoría para valorar las implicaciones normativas tanto de la LOPD como de la LSSI, respecto a cualquier acción o campaña de marketing que suponga una comunicación comercial.

 

Enlace a la Resolución de la AEPD: PS-00598-2013

 

NEWS Enero/2014. El 28 de enero, como cada año se celebra el día de la Protección de Datos en Europa

Cada año se celebra en esta fecha el día de la Protección de Datos en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

EUROVIMA se suma a la difusión de este día en apoyo de la Protección de Datos, reiterándoles que como siempre, si necesitan cualquier información sobre el tema o tienen cualquier duda, que somos expertos en materia de Protección de Datos, privacidad, adecuación de páginas web a la LSSI, comercio electrónico y que nuestro departamento de Asesoría LOPDLSSI está disponible para Usted.

Pueden encontrar más información en la página web de la Agencia Española de Protección de Datos

ProtegetusdatosG

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr

¿Cómo devolver una compra realizada en internet; el derecho de desistimiento?

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

En estos días en los que con la llegada de Nochebuena y Reyes, hay una frenética carrera por llegar a tiempo con las compras y en un momento en el que cada vez los consumidores optamos más por hacerlas por internet (e-commerce) conviene recordar algunas cuestiones importantes que como consumidores o vendedores tenemos que tener presentes.

Todo ello en un momento en el que múltiples y recientes encuestas señalan que el número de consumidores vía internet sería mayor si las garantía de seguridad en el pago, la claridad en las condiciones de compra y la protección de sus datos personales, fuese mayor.

La importancia de las “condiciones de compra”

Por eso hoy queremos comentaros uno de estos aspectos; la claridad en las condiciones de compra, que en España establece y regula la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI) sin olvidarnos de otras normativas de aplicación como la ley General para la Defensa de los Consumidores y Usuarios (modificación en trámite parlamentario) la LOPD o la Ley de Ordenación del Comercio Minorista.

Entre otras obligaciones previas y posteriores a la contratación, hay que recordar que la LSSI establece el deber de información sobre los datos identificativos del negocio, las condiciones de uso, del precio final del producto, es decir, si el precio incluye impuestos, cuales son los gatos de envío, etc.

Respecto a las condiciones generales de compra o contratación electrónica, estas han de incluirse en la página web y han de ser muy claras,  y cuando menos han de informarnos sobre:

  1. Lenguas en las que el contrato se podrá formalizar.
  2. Vigencia de las condiciones de compra
  3. Responsabilidad del Clientes y el Vendedor
  4. Precios, formas de pago y envío.
  5. Aceptación de la compra.
  6. Derecho de desistimiento, consistente en la devolución del producto comprado sin necesidad de justificar su decisión sin penalización, en un plazo determinado.
  7. Archivo del Contrato: si se va a archivar y si será accesible.
  8. Confirmar la aceptación de la compra mediante un acuse de recibo (correo electrónico)
  9. Legislación aplicable y jurisdicción. Lugar de celebración del contrato.

Pero, ¿que sucede cuando recibimos nuestro producto, comprado online y no nos satisface o se ajusta a las expectativas que motivaron nuestra decisión de compra?

De manera resumida, tenemos que tener muy presente a la hora de conocer nuestros derechos para devolver cualquier compra realizada por internet lo siguiente:

  • Actualmente en España el derecho de desistimiento establece que el plazo legal de devolución es de 7 días, ampliable de manera automática a 90 días en el caso en el que el vendedor no hubiese informado al consumidor sobre su derecho de devolución.
  • El plazo de devolución se inicia cuando se recibe el producto, debiendo el vendedor reembolsar el importe como máximo en 30 días.
  • Los gastos de envío derivados de una devolución tendrán que estar claramente identificados en las condiciones de compra o de lo contrario, será el vendedor quien correrá con dichos gastos.
  • No existirá ningún contrato entre el comprador y vendedor hasta que el pedido haya sido expresamente aceptado por ambos. Si la oferta no es aceptada y se hubiese cargado algún pago, ha de ser devuelto en su totalidad.
  • En algunos casos, no se podrá ejercitar el derecho de desistimiento como, por ejemplo, si es un producto personalizado, o se trata de bienes que por su naturaleza, no puedan ser devueltos o puedan deteriorarse o caducar con rapidez. Otros productos como grabaciones sonoras, de vídeo, de discos y programas informáticos, prensa diaria, publicaciones periódicas, servicios de apuestas y loterías tampoco darán lugar al derecho de desistimiento.

En todo caso, hay que recordar que el pasado 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modificará el texto refundido de la Ley General para la Defensa de los Derechos de los Consumidores y Usuarios y otras leyes complementarias en materia de contratación a distancia, que pretende adaptar la norma española a la Directiva Europea sobre Derechos de los Consumidores, reforzando la seguridad jurídica de la venta por comercio electrónico, que por ejemplo prevé que el plazo de ejercicio del derecho de desistimiento se amplíe a 14 días.

Os informaremos de las nuevas reglas o las modificaciones que se produzcan en la contratación electrónica y telefónica, una vez que entren en vigor. Hasta entonces si tenéis alguna duda sobre cualquier cuestión relacionada con el comercio electrónico, sabéis que nuestro servicio de Asesoría LOPD y LSSI está a vuestra disposición. Ahh, y felices compras¡¡

Para saber más os dejamos un enlace de un informe publicado por INTECO:

INTECO-CERT: Informe “Adecuación a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico”

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Some Flying Envelopes – By renjith krishnan in www.freedigitalphotos.net

Cuántas veces escuchamos aquello de que recibimos correos comerciales que no hemos solicitado, ni sabemos de dónde han obtenido nuestros datos, vamos, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica). Pues muchas, pero al final muy pocas personas se deciden a denunciar. La cuestión es que si se denuncia, la Agencia Española de Protección de Datos (AEPD) actúa, analizando lo sucedido y sancionando cuando, como en el caso que nos ocupa, se incumple la normativa.

Este ha sido el caso de una persona que recibió un correo electrónico (comunicación comercial) de una empresa a la que si bien había comprado un producto en su día, decidió posteriormente que no quería recibir información comercial de dicha empresa y se dio de baja en la suscripción del newsletter al objeto precisamente de no recibir más correos electrónicos o comunicaciones comerciales de dicha empresa, llegando el denunciante a recibir un correo que confirmaba haber procesado su petición y que sus datos de contacto quedaba excluidos de la lista de clientes que admitían e-mail.

Posteriormente recibió un nuevo correo electrónico con contenido comercial, denunciándolo ante la AEPD, quien en su resolución de 21-11-2013, señala que “Spames cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

Como la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, finalmente la AEPD impuso una sanción de 600 € por infracción de dicho artículo.

La cuantía de la sanción fue baja, ya que si bien pudo llegar a ser de hasta 30.001€, la AEPD concluyó que:

  • Fuese considerada leve (al no tratarse de un envío masivo a distintos destinatarios, ni más de tres envíos al denunciante).
  • Le fuesen aplicados los criterios de graduación de las sanciones recogidos en el artículo 40, y en este caso por la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos.

Como habitualmente indicamos a nuestros clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos) y seguir los procedimientos que tenemos implementados y recogidos en nuestro documento de seguridad y sobre todo, que antes de hacer cualquier campaña de marketing que suponga una comunicación comercial nos consultéis previamente, que nuestro servicio de asesoría está a vuestra disposición para señalaros las implicaciones normativas tanto de la LOPD como de la LSSI y la manera de gestionarlo de forma correcta y segura.

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones - Eurovima Consulting

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones

El pasado día 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modifica entre otros, algunos aspectos de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI o LSSICE), del 11 de julio de 2002.

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones - Eurovima Consulting

Application Mobile Stock ImageBy emptyglass in www.freedigitalphotos.net/

Entre las modificaciones de la LGT referentes a la LSSI  de manera resumida, cabe resaltar las siguientes:

  1. Las comunicaciones comerciales y la persona física o jurídica que la realiza deben ser identificadas. Se elimina la obligación de identificar los e-mails, SMS, o cualquier comunicación comercial mediante la palabra “Publi” o “publicidad”.
  2. Se crea la figura del apercibimiento, al igual que en la LOPD (en el caso de infracciones graves y leves y si concurren ciertos atenuantes). En estos casos se suprime la sanción “directa” y en su lugar, se apercibe al sujeto responsable para que adopte las medidas correctoras oportunas.
  3. Será una infracción grave el envío insistente de comunicaciones comerciales no solicitadas (envíos repetidos a unos pocos destinatarios) y también el envío de más de tres comunicaciones en un año.
  4. Los usuarios podrán emplear el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento de la recepción de comunicaciones comerciales (darse de baja vía e-mail).
  5. Se suprime la exigencia de que el usuario realice una acción expresa, cuando instale o actualice el navegador, para manifestar su consentimiento al uso de cookies. Sobre las cookies, también se aclaran cuestiones que afectan a las obligaciones y los responsables y se sanciona ignorar la voluntad del usuario de no consentir su uso o seguir tratando sus datos aun cuando el usuario haya revocado el consentimiento prestado con anterioridad.

Bueno, pues una vez ya en marcha, vamos a ver las consecuencias que puedan tener estos cambios (si las tiene), sobre todo en lo referente a aclarar aspectos sobre el consentimiento de cookies (principalmente de las cookies estadísticas y analíticas) que tanto ha dado que hablar en las últimas semanas.

Como hemos escuchado en las redes sociales, hubiese sido deseable que la AEPD se hubiese pronunciado al respecto, de manera pública, en cualquier caso, si Ustedes lo quieren hacer, esperamos encantados sus comentarios.

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

  1. El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
  2. La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
  3. El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
  4. El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
  5. De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

  1. El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
  2. El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
  3. El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
  4. El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

 


[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.