Entradas

¿Cómo devolver una compra realizada en internet; el derecho de desistimiento?

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

Internet Shopping by renjith krishnan in www.freedigitalphotos.net

En estos días en los que con la llegada de Nochebuena y Reyes, hay una frenética carrera por llegar a tiempo con las compras y en un momento en el que cada vez los consumidores optamos más por hacerlas por internet (e-commerce) conviene recordar algunas cuestiones importantes que como consumidores o vendedores tenemos que tener presentes.

Todo ello en un momento en el que múltiples y recientes encuestas señalan que el número de consumidores vía internet sería mayor si las garantía de seguridad en el pago, la claridad en las condiciones de compra y la protección de sus datos personales, fuese mayor.

La importancia de las “condiciones de compra”

Por eso hoy queremos comentaros uno de estos aspectos; la claridad en las condiciones de compra, que en España establece y regula la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI) sin olvidarnos de otras normativas de aplicación como la ley General para la Defensa de los Consumidores y Usuarios (modificación en trámite parlamentario) la LOPD o la Ley de Ordenación del Comercio Minorista.

Entre otras obligaciones previas y posteriores a la contratación, hay que recordar que la LSSI establece el deber de información sobre los datos identificativos del negocio, las condiciones de uso, del precio final del producto, es decir, si el precio incluye impuestos, cuales son los gatos de envío, etc.

Respecto a las condiciones generales de compra o contratación electrónica, estas han de incluirse en la página web y han de ser muy claras,  y cuando menos han de informarnos sobre:

  1. Lenguas en las que el contrato se podrá formalizar.
  2. Vigencia de las condiciones de compra
  3. Responsabilidad del Clientes y el Vendedor
  4. Precios, formas de pago y envío.
  5. Aceptación de la compra.
  6. Derecho de desistimiento, consistente en la devolución del producto comprado sin necesidad de justificar su decisión sin penalización, en un plazo determinado.
  7. Archivo del Contrato: si se va a archivar y si será accesible.
  8. Confirmar la aceptación de la compra mediante un acuse de recibo (correo electrónico)
  9. Legislación aplicable y jurisdicción. Lugar de celebración del contrato.

Pero, ¿que sucede cuando recibimos nuestro producto, comprado online y no nos satisface o se ajusta a las expectativas que motivaron nuestra decisión de compra?

De manera resumida, tenemos que tener muy presente a la hora de conocer nuestros derechos para devolver cualquier compra realizada por internet lo siguiente:

  • Actualmente en España el derecho de desistimiento establece que el plazo legal de devolución es de 7 días, ampliable de manera automática a 90 días en el caso en el que el vendedor no hubiese informado al consumidor sobre su derecho de devolución.
  • El plazo de devolución se inicia cuando se recibe el producto, debiendo el vendedor reembolsar el importe como máximo en 30 días.
  • Los gastos de envío derivados de una devolución tendrán que estar claramente identificados en las condiciones de compra o de lo contrario, será el vendedor quien correrá con dichos gastos.
  • No existirá ningún contrato entre el comprador y vendedor hasta que el pedido haya sido expresamente aceptado por ambos. Si la oferta no es aceptada y se hubiese cargado algún pago, ha de ser devuelto en su totalidad.
  • En algunos casos, no se podrá ejercitar el derecho de desistimiento como, por ejemplo, si es un producto personalizado, o se trata de bienes que por su naturaleza, no puedan ser devueltos o puedan deteriorarse o caducar con rapidez. Otros productos como grabaciones sonoras, de vídeo, de discos y programas informáticos, prensa diaria, publicaciones periódicas, servicios de apuestas y loterías tampoco darán lugar al derecho de desistimiento.

En todo caso, hay que recordar que el pasado 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modificará el texto refundido de la Ley General para la Defensa de los Derechos de los Consumidores y Usuarios y otras leyes complementarias en materia de contratación a distancia, que pretende adaptar la norma española a la Directiva Europea sobre Derechos de los Consumidores, reforzando la seguridad jurídica de la venta por comercio electrónico, que por ejemplo prevé que el plazo de ejercicio del derecho de desistimiento se amplíe a 14 días.

Os informaremos de las nuevas reglas o las modificaciones que se produzcan en la contratación electrónica y telefónica, una vez que entren en vigor. Hasta entonces si tenéis alguna duda sobre cualquier cuestión relacionada con el comercio electrónico, sabéis que nuestro servicio de Asesoría LOPD y LSSI está a vuestra disposición. Ahh, y felices compras¡¡

Para saber más os dejamos un enlace de un informe publicado por INTECO:

INTECO-CERT: Informe “Adecuación a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico”

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD

Si un cliente solicita la baja de tu newsletter no le mandes más correos | Eurovima Consulting S.L. | Asesoría LOPD Madrid

Some Flying Envelopes – By renjith krishnan in www.freedigitalphotos.net

Cuántas veces escuchamos aquello de que recibimos correos comerciales que no hemos solicitado, ni sabemos de dónde han obtenido nuestros datos, vamos, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica). Pues muchas, pero al final muy pocas personas se deciden a denunciar. La cuestión es que si se denuncia, la Agencia Española de Protección de Datos (AEPD) actúa, analizando lo sucedido y sancionando cuando, como en el caso que nos ocupa, se incumple la normativa.

Este ha sido el caso de una persona que recibió un correo electrónico (comunicación comercial) de una empresa a la que si bien había comprado un producto en su día, decidió posteriormente que no quería recibir información comercial de dicha empresa y se dio de baja en la suscripción del newsletter al objeto precisamente de no recibir más correos electrónicos o comunicaciones comerciales de dicha empresa, llegando el denunciante a recibir un correo que confirmaba haber procesado su petición y que sus datos de contacto quedaba excluidos de la lista de clientes que admitían e-mail.

Posteriormente recibió un nuevo correo electrónico con contenido comercial, denunciándolo ante la AEPD, quien en su resolución de 21-11-2013, señala que “Spames cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico.

Como la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, finalmente la AEPD impuso una sanción de 600 € por infracción de dicho artículo.

La cuantía de la sanción fue baja, ya que si bien pudo llegar a ser de hasta 30.001€, la AEPD concluyó que:

  • Fuese considerada leve (al no tratarse de un envío masivo a distintos destinatarios, ni más de tres envíos al denunciante).
  • Le fuesen aplicados los criterios de graduación de las sanciones recogidos en el artículo 40, y en este caso por la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos.

Como habitualmente indicamos a nuestros clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos) y seguir los procedimientos que tenemos implementados y recogidos en nuestro documento de seguridad y sobre todo, que antes de hacer cualquier campaña de marketing que suponga una comunicación comercial nos consultéis previamente, que nuestro servicio de asesoría está a vuestra disposición para señalaros las implicaciones normativas tanto de la LOPD como de la LSSI y la manera de gestionarlo de forma correcta y segura.

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones - Eurovima Consulting

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones

El pasado día 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modifica entre otros, algunos aspectos de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI o LSSICE), del 11 de julio de 2002.

Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones - Eurovima Consulting

Application Mobile Stock ImageBy emptyglass in www.freedigitalphotos.net/

Entre las modificaciones de la LGT referentes a la LSSI  de manera resumida, cabe resaltar las siguientes:

  1. Las comunicaciones comerciales y la persona física o jurídica que la realiza deben ser identificadas. Se elimina la obligación de identificar los e-mails, SMS, o cualquier comunicación comercial mediante la palabra “Publi” o “publicidad”.
  2. Se crea la figura del apercibimiento, al igual que en la LOPD (en el caso de infracciones graves y leves y si concurren ciertos atenuantes). En estos casos se suprime la sanción “directa” y en su lugar, se apercibe al sujeto responsable para que adopte las medidas correctoras oportunas.
  3. Será una infracción grave el envío insistente de comunicaciones comerciales no solicitadas (envíos repetidos a unos pocos destinatarios) y también el envío de más de tres comunicaciones en un año.
  4. Los usuarios podrán emplear el correo electrónico u otra dirección electrónica equivalente para revocar el consentimiento de la recepción de comunicaciones comerciales (darse de baja vía e-mail).
  5. Se suprime la exigencia de que el usuario realice una acción expresa, cuando instale o actualice el navegador, para manifestar su consentimiento al uso de cookies. Sobre las cookies, también se aclaran cuestiones que afectan a las obligaciones y los responsables y se sanciona ignorar la voluntad del usuario de no consentir su uso o seguir tratando sus datos aun cuando el usuario haya revocado el consentimiento prestado con anterioridad.

Bueno, pues una vez ya en marcha, vamos a ver las consecuencias que puedan tener estos cambios (si las tiene), sobre todo en lo referente a aclarar aspectos sobre el consentimiento de cookies (principalmente de las cookies estadísticas y analíticas) que tanto ha dado que hablar en las últimas semanas.

Como hemos escuchado en las redes sociales, hubiese sido deseable que la AEPD se hubiese pronunciado al respecto, de manera pública, en cualquier caso, si Ustedes lo quieren hacer, esperamos encantados sus comentarios.

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

  1. El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
  2. La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
  3. El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
  4. El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
  5. De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

  1. El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
  2. El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
  3. El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
  4. El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

 


[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

La AEPD inicia procedimiento sancionador a una empresa por la instalación de cookies sin autorización (previa) del usuario.

Según hemos podido leer en las redes sociales y en multitud de noticias y blogs relacionados, la Agencia Española de Protección de Datos (AEPD) ha notificado el inicio de un procedimiento sancionador a una empresa por instalar cookies sin la autorización del usuario de la web de la empresa en cuestión.

De confirmarse, estaríamos ante una primera resolución de este tipo, en la que se analizará la aplicación del artículo 22.2 de la LSSI en el que se establece lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” .

Hemos querido subrayar la palabra después ya que en ella está la clave de la denuncia (o eso es lo que cuando menos se ha estado indicando, ya que no hemos tenido acceso al procedimiento).

La cuestión es que parece ser que las cookies investigadas son de las más empleadas en páginas webs, como son Google Analytics, Maps o WordPress, es decir, muy comunes.

Recordemos que la AEPD, presentó en abril de este año la primera guía en Europa sobre el uso de cookies, elaborada junto a los representantes de la industria y que de facto, parece que ha supuesto el pistoletazo de salida para su cumplimiento, ya que ha sido en ese momento cuando las empresas han incorporado en sus páginas web la información sobre el uso de las cookies, información que parece ser no cumple con la normativa, si bien, trataremos de analizarlo con calma y por supuesto esperaremos expectantes la resolución que publique la AEPD.

NEWS 08/Mayo/2013 Nuevas Guías sobre el CLOUD y COOKIES de la AEPD

El pasado 26 de abril de 2013, tuvo lugar en Madrid, la 5ª Sesión Anual Abierta de la AEPD (Agencia Española de Protección de Datos). Sobre esta sesión ya publicamos un post en el que comentamos un resumen con el contenido, alcance e impresiones sobre la misma.

Hoy queremos recordar que en dicha sesión se presentaron dos guías (de las que os dejamos su enlaces correspondientes)con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube Guía para clientes que contraten servicios de Cloud Computing, como a los proveedores que los prestan Orientaciones para prestadores de servicios de Cloud Computing.

Reproducimos por su interés, parte de la Nota emitida por la AEPD de la 5ª sesión anual (nota completa en este enlace):

En el primer bloque de la jornada el adjunto al director de la AEPD, Jesús Rubí, ha presentado la Guía para clientes que contraten servicios de cloud computing, un documento práctico que pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios en la nube. El documento, dirigido a pymes, microempresas, profesionales y administraciones públicas, analiza, entre otros aspectos, las diferentes modalidades de servicios en la nube, los riesgos, las obligaciones de las partes y la legislación aplicable. En paralelo, la AEPD también ha elaborado una publicación llamada Orientaciones para los prestadores de servicios de cloud computing, que hace hincapié en las garantías que deben cumplir las empresas que ofrecen estos servicios.

Ese día 26 se anunció la publicación de la primera guía en Europa sobre el uso de cookies elaborada junto a los representantes de la industria, que el día 29 la AEPD presentó junto a dichos representantes.

Reproducimos por su interés, parte de la Nota emitida por la AEPD (nota completa en este enlace):

El director de la AEPD, José Luis Rodríguez Álvarez, ha destacado que, con esta Guía, se da un gran paso adelante para conciliar el uso de las cookies con la protección de la privacidad de los ciudadanos. “Se establecen reglas claras para garantizar que los usuarios puedan decidir si consienten o no la instalación de cookies en sus terminales, contando con una información clara y completa sobre qué datos se recopilan, quiénes los van a tratar y a qué fines se destinan. Al mismo tiempo, se proporcionan a las empresas y a los responsables de páginas web en general unas directrices y orientaciones prácticas que les facilitará el cumplimiento de las obligaciones legales con mayor seguridad jurídica y el grado de flexibilidad necesario para posibilitar el desarrollo de la economía digital”.

La guía ofrece diversas opciones para cumplir con las dos obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. En cuanto a la información que debe facilitarse, el apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información “clara y completa” sobre las cookies. La Guía especifica un sistema de información por capas que consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.

La Guía también recoge cuestiones relacionadas con la accesibilidad y visibilidad de esa información. Aunque no se ofrecen indicaciones rígidas de dónde debe ser colocada, sí se especifica que el enlace debe estar situado en zonas que capten la atención de los usuarios.

Además de ese nivel de información, para la instalación y utilización de cookies será necesario obtener el consentimiento del usuario, de forma que este pueda considerarse un consentimiento informado.

Por último, el documento también recoge el derecho de los usuarios a recibir información sobre la forma de desactivar o eliminar las cookies, así como la forma de revocar un consentimiento prestado con anterioridad.

Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones recogidas en el documento conjunto no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio. La AEPD recomienda a las entidades implicadas en la utilización de cookies llevar a cabo una revisión de las que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas. Las entidades podrán conocer así qué cookies se utilizan y para qué finalidad, descartando así las innecesarias.

 

Resumen 5ª Sesión Anual Abierta de la AEPD

Esta mañana de viernes 26 de abril de 2013, ha tenido lugar en el marco incomparable del Teatro Real de Madrid, la 5ª Sesión Anual Abierta de la AEPD, cuyo aforo estaba completo a los pocos días de anunciarse su convocatoria.

Como cada año, acudimos con las ganas de escuchar por boca de la propia AEPD que cuestiones relevantes nos deparará nuestra querida protección de datos, esperando encontrar algunas respuestas a las cuestiones que los súbditos hemos planteado, los pequeños comentarios sobre sentencias, resoluciones e informes destacados y su visión respecto a las cuestiones que a día de hoy se encuentran pendientes de concretar dentro del marco regulador.

Particularmente creo que este año ha sido el más interesante, sobre todo por conocer y admitir abiertamente, por parte del Director de la AEPD, D. José Luís Rodríguez Álvarez, cuestiones como:

  • Que hay una voluntad política para que antes de que finalice la presente legislatura europea se apruebe el Reglamento Europeo sobre Protección de Datos.
  • Que existen aspectos puestos en duda como el modelo de ventanilla única que según el Director de la AEPD es un retroceso en las garantías para los ciudadanos que estarán obligados a dirigirse a la autoridad del Estado que corresponda para ejercitar sus derechos.
  • La importancia en hacer compatible la privacidad con el desarrollo tecnológico, en un marco de confianza en el que la protección de datos no sea un obstáculo, más bien la condición necesaria para generar confianza en el desarrollo de la actividad económica digital.

D. Jesús Rubí, presentó dos guías con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube, como a los proveedores que los prestan, incidiendo en aspectos como la “diligencia” en la elección del prestador del servicio, en las responsabilidades de ambos, la localización, la subcontratación o la portabilidad de los datos.

También se dio un avance de una tercera guía sobre cookies, con orientaciones que han de adaptarse caso a caso o negocio a negocio. En este sentido, como en la mayoría, creo que las orientaciones vendrán de la mano de las sanciones, que por cierto dicen que ya han empezado a producirse inspecciones, recordando que la normativa tiene ya un año de vida, aunque “aparente menos edad” o pensásemos que se encontraba en estado de gestación, dada su escasa aplicación.

Sobre las cookies, se aboga por la información esencial visible desde el primer momento para garantizar el consentimiento informado y su comprensión (sencillez) y también por “capas”, destacado que se aceptarán formulas como: “si sigue Usted navegando esta consintiendo…” o “arrastrando su cursor, consiente…” y que las cookies analíticas no están exentas del deber de información. En todo caso, ya veremos como se van implementando.

Posteriormente se realizó la entrega de premios anuales, dando paso al “análisis” de sentencias, informes y resoluciones más relevantes, tanto del Tribunal Supremo como de la Audiencia Nacional, destacando el incremento de denuncias por Suplantación de la identidad (sobre todo sector energía y agua) incidiendo en que es imputable tanto al comercial como al responsable, infracciones derivadas de imágenes colgadas en redes sociales sin consentimiento, del ejercicio de tutela del derecho al olvido siempre enfrentado a la libertad de información, del interés legítimo, etc.

En las últimas intervenciones, se habló de un nuevo modelo de transferencia internacional de datos en base a nuevos criterios que pretende mejorar la posición de los encargados de tratamiento de la UE frente a terceros y de los avances y desarrollos internacionales.

Por último, se expusieron unas 15-20 consultas de las planteadas previamente por los asistentes, esperando poderlas analizar en detalle una vez se encuentren publicadas en la web de la Agencia, cerrando la sesión las preguntas formuladas directamente por los asistentes.

En definitiva, con algo más de calma, iremos desgranando lo acontecido en próximos post, mientras, sean DILIGENTES y respeten y cuiden su PRIVACIDAD (y las de los demás).

Motivos para adecuarnos a la Ley de Protección de datos y LSSI; ¿Elige el tuyo? - Eurovima Consulting

Motivos para adecuarnos a la LOPD y LSSI; ¡elige el tuyo!

Motivos para adecuarnos a la Ley de Protección de datos y LSSI; ¿Elige el tuyo? - Eurovima Consulting

Veamos: ¿A quién afecta?  y  ¿Por qué es importante?

Primero hagámonos ésta pregunta, ¿a qué empresas/organizaciones/ profesionales afecta?

A TODAS; empresas, profesionales y también a entidades que tengan o no ánimo de lucro; fundaciones, asociaciones, comunidades de vecinos, etc.

De tal manera que las que tengan empleados/clientes/asociados/etc. estarán afectas por la Ley de Protección de Datos de Carácter Personal (LOPD) y las que actúen por Internet –aunque sólo tengan una página informativa-, por la LSSI.

En segundo lugar, veamos y busquemos motivos, legales o no, para adecuarnos; ¿por qué es importante? Entre otros motivos podemos señalar:

  • Ser un requerimiento legal, desde hace ya muchos, muchos, muchos años.
  • Se trata de uno de los derechos fundamentales reconocidos por la Constitución: “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.
  • Su aplicación compete a toda la Organización (dirección, empleados, comerciales, etc).
  • Su incumplimiento puede originar sanciones y problemas de imagen y confianza.
  • Permite implementar y revisar las medidas técnicas y organizativas que garantizan la confidencialidad, integridad, disponibilidad y un correcto tratamiento de la información que nuestros Clientes/Usuarios/Asociados/Miembros/Colaboradores nos han confiado.
  • Debemos garantizar la continuidad de nuestro negocio. Invertir en seguridad supone ganar en rapidez y eficacia, adquiriendo un compromiso con la calidad y ética empresarial.
  • Ofrecer al cliente de Internet la misma imagen, seguridad, garantías y confianza que tienen de nuestra empresa de manera presencial.
  • Los servicios, comunicaciones en Internet, Redes Sociales, etc. se han convertido en canales de comunicación y marketing importantes para las empresas, grandes y pequeñas; donde ofrecer servicios, productos, imagen y filosofía, sin limitaciones geográficas y a una multitud de visitantes.
  • Recordemos que no estamos ante un proceso estático ya que es necesario que se encuentre actualizado siendo necesario establecerlo como un proceso de mejora continua.

¿A qué estamos obligados? Entre otras cuestiones a:

  • Declarar que datos tratamos, su finalidad, usos, cesiones, etc. y que los medios usados (captación, tratamiento y difusión) en el tratamiento de datos de carácter personal, sean adecuados y que los datos sean proporcionales a su finalidad, veraces y obtenidos legítimamente
  • Mantener actualizadas las medidas seguridad y procedimientos que garanticen el cumplimiento de los requerimientos legales de la información con datos de carácter personal que gestionamos.
  • Revisar o formalizar los contratos, con aquellos que nos prestan un servicio con acceso o tratamiento de nuestros datos (asesorías, mantenimiento informático, etc.).
  • Informar/implicar a los intervinientes (empleados, colaboradores, empresas externas), y facilitar y garantizar derechos de oposición, acceso, rectificación y cancelación a los clientes.
  • A la adaptación de nuestra página web, desde el punto de vista LOPD como LSSICE (Boletín de Novedades o Newsletter, registros de usuarios, Ventas, etc.).

Busca tu motivo para cumplir con la protección de datos y la LSSI

Habitualmente nos encontramos que muchos de estos aspectos las empresas los cumplen simplemente por el interés de salvaguardar su propio negocio y la información que lo sustenta.

Puede que también tengan implementadas medidas técnicas y organizativas que garantizan la seguridad, confidencialidad y un correcto tratamiento de la información que gestionan aun cuando no se encuentran gestionados, documentados o controlados tal y como establece la normativa.

Por todo lo dicho, busca tu motivo para cumplir con la protección de datos y la LSSI y llámanos, te informaremos en detalle.

Redes Sociales II; Riesgos y aspectos a tener en cuenta por las empresas

Hace poco más de un mes, os prometimos un segundo post en el que hablásemos de cómo Internet genera por sí misma, situaciones de riesgo, desde el punto de vista de la seguridad y privacidad, que provocan un impacto reputacional y económico para la organización y de cómo los llamados community manager, nos pueden ayudar o no.

Pensemos que la “finalidad”, el sentido o lo que perseguimos estando en una Red Social y lo que pensamos hacer en la misma, serán cuestiones que marcarán nuestra exposición al riesgo y un posible impacto reputacional.

Podemos definir la identidad online de la empresa como el conjunto de información que aparece en Internet sobre la misma: datos, imágenes, registros, comentarios, etc. Información que engloba los comentarios y opiniones que los demás vierten en la red, vengan o no, a partir de aquellos contenidos que activamente genera la organización.

Pero antes, analicemos algunos estudios como el documento publicado por Panda Security: “Índice Anual de riesgo de las Redes Sociales para PYMES (acceso al artículo completo) cuyo objetivo de la encuesta es descubrir las preocupaciones que tienen las PYMEs sobre el uso de las redes sociales y presentar la relación entre la incidencia actual del malware (software malicioso, hostil, intrusivo o molesto) y las pérdidas económicas. El estudio se realizó en base a una encuesta realizada a 315 empresas americanas, de entre 15 y 1.000 empleados y las conclusiones principales fueron:

  1. Casi un tercio de las PYMEs se han infectado con malware a través de redes sociales
  2. El 35% de las empresas infectadas han sufrido pérdidas económicas, y de éstas, más de un tercio reporta unos 5.000$ de pérdidas
  3. Facebook es la fuente principal de infecciones así como de violaciones de privacidad de los empleados
  4. Más de la mitad de las PYMES han adoptado una política de uso de las redes sociales

Otro ejemplo, nos llega desde la Fundación Banesto que en octubre de 2011 publicó el “Observatorio sobre el uso de las redes sociales en las PYMEs españolas(acceso al artículo completo), que a modo de resumen enumera 15 puntos clave, de los que destacamos aspectos como:

  1. El 50% de las PYMEs en España usan redes sociales para desarrollarse profesionalmente.
  2. Del 50,2% de las PYMEs españolas que aún no utilizan plataformas sociales, el 60% tiene intención de hacerlo en el futuro.
  3. La mayoría de estas empresas se concentran en el sector servicios.
  4. Facebook es la red más utilizada, con un 38,7%.
  5. Los 3 objetivos principales por los que las PYMEs entran en redes sociales son: promocionar el producto; mejorar las vías de difusión y comunicación con clientes; y, en menor medida, ganar conocimiento de mercado.
  6. Un 82% de compañías piensan que es un canal en ascenso claro, solo un 2% auguran un descenso.
  7. El 90% de las empresas que piensan entrar en redes empezará por Facebook

Por tanto, si las pymes españolas están interesadas en las redes sociales y, ese interés va en aumento, y como hemos visto, las redes sociales tienen una incidencia directa en la infección por malware y en las pérdidas económicas que produce, será cuestión de preocuparnos por nuestra identidad digital y nuestra reputación online, y por establecer estrategias que permitan a las organizaciones alcanzar una determinada posición en los medios sociales y comunicarse mejor con sus clientes, proveedores, seguidores y público en general, minimizando los riesgos y los costes derivados de los mismos.

Estas estrategias hoy en día están en manos o son dirigidas por los Community Manager que no sólo deben aportar sus conocimientos técnicos y de marketing, sino que también conviene que tengan en cuenta los aspectos legales (LOPD-LSSI) que afectan a su actividad en relación con el medio en el que se desenvuelven, ya que hablamos de obtener la información que la audiencia social transmite y aplicarla en nuestra marca, servicios, productos, clientes y seguidores.

Cuando menos, la empresa deberá estar alerta para que su labor de comunicación no tenga efectos dañinos desde el punto de vista de reputación social para la empresa que le paga, pero también de los aspectos legales en los que pueda incurrir.

Pensemos a quién le damos el poder de expresarse de la manera que quiera, en nuestro nombre, o de cómo actuará cuando surja algún conflicto, ya que sabemos que hay meteduras de pata tontas que cuestan más que dinero.

El CM tiene que saber estar, mantenerse en el papel de la empresa, no será una simple persona que “chatea”, será la imagen y voz de la empresa, con comunicación bilateral y por tanto deberá escuchar, recabar y obtener la información que la audiencia social le transmite y aplicarla en nuestro beneficio.

Bienvenidos. No olviden su ración vitamínica LOPD…

bkg_fondowebmeeting_1024x768En estos tiempos presentes, en los que parece que todo está un tanto oscuro, nos gustaría poner un poco de luz, cuando menos en lo que podamos y nos corresponde; La Privacidad y la Protección de Datos de carácter personal.

Hemos actualizado nuestra web, la hemos puesto más o menos al día en cuanto a su contenido “2.0” (que no sé muy bien que significa, pero todo el mundo habla de ello) ya que deseábamos ofrecer a nuestros Clientes y Visitantes un lugar en el que poder encontrar información, contenido y actualidad en lo referente a la LOPD, LSSI y en general al mundo de las nuevas tecnologías desde una perspectiva jurídica y de aplicación en nuestra Organizaciones.

Aunque hemos tardado, esperamos que os guste el resultado, que iremos completando y mejorando en la medida que el trabajo lo permita. Si encontráis algo que os llame la atención esperamos vuestros comentarios, si tenéis alguna duda o sugerencia también.

La dirección y el equipo colaborador de EUROVIMA CONSULTING, os dan las gracias por vuestra fidelidad y desea agradecer de manera especial a nuestro equipo webmaster que ha diseñado la presente web y con su experiencia nos ha ayudado a ponerla en marcha, al igual que a nuestro proveedor INFORMATICOS.CO que ha sido paciente, nos aloja y cuida. Por último y no menos importante, agradecer a Pablo Valenzuela que desde MYEGOO también ha participado en la primera puesta en escena de EUROVIMA en la red y a la Dirección y Personal de BITAM por sus múltiples aportaciones.