Entradas

Formación, LOPD y LOPDCOSTECERO; Quien nada hace, nada teme

Este artículo está dedicado a nuestros CLIENTES y a los compañeros de profesión que sufren el COSTECERO.

 

GRACIAS CLIENTE de Eurovima, os agradecemos el pago de nuestros servicios, eso dice mucho de vosotros.

lopdcostecero-300x120Hola, hoy nos ponemos más serios que nunca y no es para contar o informar sobre algo relativo al Comercio Electrónico, a la privacidad, intimidad, menores o la LOPD o LSSI, se trata de lograr una mayor divulgación de un problema que a muchas empresas/profesionales nos afecta; el fraude llamado LOPDCOSTECERO.

Queremos haceros llegar una reflexión sobre un tema que afecta a nuestra actividad profesional (y a todos los que pagamos impuestos) y que en estos últimas tiempos ha sido mencionada en la prensa, ya que en este caso afecta a entidades de renombre y eso vende mucho…..Se trata de los famosos cursos de formación a trabajadores subvencionados por unos créditos que las empresas obtienen y que en muchas ocasiones las empresas destinan al pago de servicios, firmando que se han impartido dichos cursos. Aunque es algo que lleva años produciéndose en el sector, apenas ha tenido eco y eso que desde asociaciones como APEP, Asociación Profesional Española de Privacidad, se viene haciendo lo indecible (os dejamos alguna muestra),  y …. Ahora si tiene eco quizás el motivo sea que ¿vende más si la noticia afecta a un organismo reconocido que la noticia en sí?.

Hablamos de “atajos” para lograr vender servicios, valiéndose de unos fondos de formación que se destinan de manera ineficiente, pues lo único que importa (no en todos los casos, ojo) es facturar, pues la formación en sí del trabajador, es lo de menos….. y así nos luce el pelo.

Esta práctica afecta a los profesionales del sector que nos dedicamos al cumplimiento legal relativo a la protección de datos y al comercio electrónico, el fraude llamado LOPDCOSTECERO, pero que también afecta a otros sectores como: Calidad, prevención de riesgos laborales, blanqueo de capitales, etc.

La cuestión es simple: cómo puede competir una empresa como EUROVIMA que ofrece estos servicios con otra que los ofrece a cambio de usar ese crédito de la formación como pago y todo ello con independencia de la calidad/servicio prestado, que evidentemente será inferior pues alguien que tiene esos principios por bandera con suerte nos dará lo “justito” y que de paso deja a nuestra profesión en mal lugar.

Vamos que si EUROVIMA te ofrece sus servicios a cambio de X euros, frente a otros que te ofrecen “lo mismo” a cambio de firmar unos papeles, con los tiempos que corren, de crisis económica pero también de crisis de valores, pues eso supone que cerca de un 20% de nuestras ofertas se las lleven los “listos” que usan esos atajos.

Afortunadamente también nos encontramos con clientes potenciales que no quieren saber nada de estos temas, pues “lo gratis suele salir caro”.

En fin, hablamos de competencia sana, no desleal pero también que los actores que intervienen en estos temas, sobre todo los entes públicos y afines al sistema, hagan bien su trabajo y que no se aprovechen de su posición.

Que si hay irregularidades se sancionen duramente estas prácticas, que a nosotros nos han ofrecido en alguna ocasión y que JAMÁS HEMOS ACEPTADO, por eso el encabezado de: “QUIEN NADA HACE, NADA TEME”.

Agradecemos que se comparta y también vuestros comentarios y si sabéis de este tipo de prácticas, os podemos decir como denunciarlas de manera anónima, ya que desde EUROVIMA nos resistimos a pensar que no se puede hacer nada, cuando menos que no sea por intentarlo. GRACIAS

PD.- Sabemos de un caso en el que ofrecen la mitad del importe del crédito que dispone la empresa, en dinero de una tarjeta de unos grandes almacenes (que nada tienen que ver con el tema).

Os dejamos el enlace al Comunicado de La Fundación Tripartita para la Formación en el Empleo; Utilización de bonificaciones para LOPD – Nota informativa que habla de este tema (ENLACE)

Presentacion EUROVIMA_Desayuno AEGAMA_2_abril_2014

LSSICE y LOPD: Que debo saber si tengo una página web

Presentacion EUROVIMA_Desayuno AEGAMA_2_abril_2014Este miércoles día 2 de abril, organizamos un desayuno de trabajo en AEGAMA, Asociación de Empresarios Gallegos en Madrid, calle Orense 10, de 9:30 a 11 h. al que os invitamos (gratuito previa inscripción).

El objetivo es informar a todos aquellos que tienen una página web, aunque sea solo presencial, sobre la normativa que les afecta, es decir:

  1. Sobre Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).
  2. Como afecta desde el punto de vista de aplicación de la LOPD (protección de datos personales)

Explicaremos cómo adecuar tu página web en función de la actividad que desarrolles y también si haces comercio electrónico.

Animaros y animar a quién tenga pensado crear su página web o ya la tenga pero no adecuada a la normativa.

Se trata de un evento gratuito pero las plazas son limitadas.

Mas información en el 91 446 79 62 y 91 556 23 79.

Gracias.

 


Protección de datos: Resumen y conclusiones de 6ª Sesión Anual Abierta de la AEPD

El pasado viernes 14 de marzo de 2014, en el marco incomparable del Teatro Real de Madrid, se ha celebrado la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD) con un aforo completo, como cada año, de unos 1.200 profesionales de la privacidad y la protección de datos.

La cita suele servir para escuchar de la propia AEPD los aspectos más relevantes que se han producido en el último año y que nos den su opinión sobre dichas cuestiones, por otra parte también esperamos que nos cuenten o adelanten alguna novedad, aunque la verdad es que hemos salido algo defraudados pues las novedades han sido escasas y lo expuesto ha sido una mera y rápida puesta en escena de la memoria que cada año publica la AEPD.

Abrió la jornada el Director de la AEPD, D. José L. Rodríguez Álvarez, de cuya intervención resaltamos:

  1. Que no se aprobará el Reglamento Europeo, cuando el año pasado el mensaje fue que “había voluntad política para que antes de que finalice la presente legislatura europea se aprobase”.
  2. Que la información personal adquiere cada vez un mayor valor económico por sí misma.
  3. El aumento en la desconfianza en el desarrollo de la actividad económica digital y la privacidad por los acontecimientos del último año solo pueden ser reparados con más garantías. El Director señaló que en principio la Agencia no tiene competencias, aunque han participado en las solicitudes de información presentada por el Grupo de trabajo del Artículo 29.
  4. Creación de una guía de evaluación de impacto (PIA), que califica como una metodología madura, si bien solicitan nuestra colaboración para completar su contenido.
  5. Que el internet de las cosas, Drones y Big Data son los 3 grandes retos venideros en privacidad.
  6. Sobre las Cookies, que hay 16 procedimientos abiertos de los 28 iniciados y habrá un nuevo régimen sancionador que incluirá el apercibimiento.

Del resto de exposiciones, además de los merecidos premios en materia de privacidad y de que en 7-8 meses solo se haya notificado una brecha de seguridad, de manera resumida destacamos lo siguiente:

COOKIES.- Además de desgranar la única sanción publicada, apenas se aportaron datos nuevos salvo:

  1. Que de momento solo se sanciona la falta de información.
  2. Que la agilidad a la hora de subsanar errores es tenida en cuenta por la Agencia.
  3. Se confirma el nuevo régimen sancionador.

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.- Que si bien hay avances, pues ya ha pasado por distintos trámites parlamentarios, el que se retrase es un secreto a voces, y el espionaje masivo aireado (que no descubierto) seguro que tiene mucho que ver como “causa-efecto” en la brecha de la desconfianza generada. 

PIAs.- Se anunció una guía para las evaluaciones de impacto en materia de privacidad, identificando y evaluando riesgos desde el inicio, es decir, desde el diseño. La intención es dar respuestas al qué/cómo/quién, con el respaldo de la dirección y con la participación de perfiles mixtos y actores internos/externos. Se partirá de un documento de mínimos que se completará con las aportaciones de la consulta pública.

INFORMES Y SENTENCIAS RELEVANTES.- Destacar el incremento en el número de informes y la detallada exposición de las sanciones a Google y sus expresiones condicionales del tipo: “podremos; podrá; es posible” incluidas en su política de privacidad. Además, la Agencia ha constatado que Gmail filtra correos y ficheros anexos para enviar publicidad.

CONSULTAS.- Aunque habrá que verlas en detalle cuando sean publicadas en la web de la Agencia, destacar que si publicas un video en tu perfil de una red social que al ejecutarse lleve a un tercero que instale cookies, deberás obtener el consentimiento informado para dicha instalación.


NUESTRAS CONCLUSIONES:

En un mundo TIC en constate evolución, el legislador se mueve muy lento y demasiado presionado, de manera que cuando llegue el ansiado Reglamento Europeo, este ya habrá quedado desfasado.

Con las COOKIES y la sanción a Google nos encontramos en el “día de la marmota”, una extensa exposición de algo de sobra conocido. No obstante, destacar sobre las cookies la consulta mencionada sobre la publicación de un video en red social ejecutado en plataforma de un tercero, que como diría el Maestro Luis Aragonés (si cambiamos la palabra ganar) la frase sería: “Informar, informar y volver a informar”.

Que estamos ante una guía de evaluación de impacto (PIA) versión 0.1, esperando que no se convierta en un mero informe interno más de la empresa, un informe que se moldee para que no se parezca mucho a la guía, y se guarde para mostrar ante una posible inspección. Como curiosidad, nos preguntamos si las aportaciones de la consulta pública tendrán el mismo eco publicitario sobre aquellas personas/organizaciones que hagan aportaciones significativas, como ya ha ocurrido con otras guías.

Sobre lo señalado en la exposición de las funciones de la SEDE ELECTRÓNICA de la Agencia, llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis” ya que la Agencia en su página web pone a disposición toda la información y el material necesario para hacerlo. Que la intención de la Agencia siempre ha sido la de conjugar proximidad/accesibilidad con gratuidad, pero como dice el anuncio: para todo lo demás; EUROVIMA CONSULTING, o cualquiera de los profesionales en materia de asesoría de protección de datos (LOPD) que nos hemos citado en Madrid, o los repartidos por España.

PD.- No queriendo dar ideas, esperemos que siga siendo gratis, sobre todo sin aplicar tasas a las denuncias ante la AEPD.

La AEPD sanciona con 6.000€ a aseguradora por revelar datos del consorte al cónyuge

Antes de entrar a comentar la resolución de la AEPD (PS-00424-2013) que concluyó con una sanción de 6.000€, nos haremos la siguiente pregunta: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Los hechos que motivaron la denuncia ante la AEPD

Una pareja casada, presentó sendas reclamaciones, cada uno por su lado, ante la compañía aseguradora con la que tenían contratado un plan de pensiones porque ésta no les informaba sobre la rentabilidad de los mismos. Se da la circunstancia que cada uno de ellos tenía como asegurado y como beneficiario al otro. Finalmente la aseguradora respondió a cada uno de ellos por separado, pero informando en cada una de las comunicaciones sobre la rentabilidad de los dos planes tal y como señala la resolución “no solo la información relativa a su Plan, sino también la relativa al Plan de su cónyuge”.

Esta acción que en principio pudiera parecer lógica, tiene una compleja y variada fundamentación legal.

Si repasamos el Código Civil, en su artículo 71 indica que ninguno de los cónyuges puede atribuirse la representación del otro sin que le hubiere sido conferida. Sin embargo y para el régimen económico matrimonial de la sociedad de gananciales, situación económica  en la que se encuentran gran mayoría de los Españoles, el artículo 1.375 indica que en defecto de pacto en capitulaciones, la gestión y disposiciones de los bienes gananciales corresponde conjuntamente a los cónyuges. Esto implica que un Cónyuge podría solicitar datos del otro siempre que los mismos puedan incluirse dentro de la administración de bienes gananciales, y con finalidad de gestionar los mismos. Pero es que además la misma norma en su artículo 1.346, apartado 5, indica que los bienes y derechos patrimoniales inherentes a la persona y los no transmisibles inter vivos se consideran bienes privativos.

Desde la perspectiva de la LOPD, ¿cuál ha sido el incumplimiento?.

En el artículo 10, la LOPD obliga al responsable del fichero a guardar secreto sobre los datos de los clientes que se están tratando y que el responsable del fichero (la empresa denunciada) o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos.

Además el artículo 9 obliga al responsable del fichero a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El incumplimiento lo encontramos claramente reflejado en la resolución: “Por tanto, no ha actuado con la diligencia debida al no comprobar correctamente los datos y documentos remitidos a cada uno de los denunciantes, por lo que debe considerarse que ha vulnerado el artículo 10 de la LOPD”, “al enviar a cada uno de los denunciantes carta en la que constaba no solo el nombre y apellidos del cónyuge, sino también el Certificado de Pago de Primas y la Información Trimestral de Plan de Previsión Asegurado contratado por cada uno de ellos, información que había sido solicitada individualizadamente por cada uno de ellos en reclamación de 29/08/2012, sin que hubiese obtenido el consentimiento o autorización de los denunciantes para la revelación de los mismos, conculcando el deber de secreto recogido en el citado artículo 10 de la LOPD, por lo que su actuación ha de ser merecedora de sanción.

Resolvamos la pregunta planteada al inicio: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Atendiendo a las normas mencionadas, la respuesta es NO.

Con respecto a la legislación civil, el fundamento legal es que se trata de un derecho inherente a la persona, no transmisible inter vivos, del que no se tiene representación, por resultar un derecho privativo, y por tanto no entra dentro del régimen económico matrimonial de gananciales.

Con respecto a la LOPD, la sanción impuesta por la AEPD a la aseguradora, ha sido por el incumplimiento del mencionado deber de secreto, no obstante la Agencia ha considerado la peculiaridad del caso, aplicando una graduación (disminución) en la sanción, que finalmente ascendió a 6.000€, una vez valorados los criterios de graduación de las sanciones que la LOPD contempla, tanto favorables como adversos, que en este caso han sido los siguientes:

  1. Adverso.- La resolución señala que se “trata de una gran compañía aseguradora por cuota de mercado; todo ello, en vez de atenuar su responsabilidad, le impone un mayor deber de diligencia en su actuación”.
  2. Favorable.- Por otra parte la AEPD entiende que “concurre en el presente caso una cualificada disminución de la culpabilidad de la compañía aseguradora, pues si bien incluyó en la comunicación dirigida a cada uno de los denunciantes información del Plan del respectivo cónyuge, información que era absolutamente prescindible; sin embargo, los citados denunciantes son cónyuges, la reclamación de los mismos ante la oficina de Algeciras se realiza simultáneamente en la misma fecha, su contenido es prácticamente idéntico, tienen la misma dirección y son beneficiarios de los respectivos Planes”.

En conclusión podemos responder a la pregunta inicial y asegurar que sí que pueden existir secretillos en el matrimonio y que la próxima vez atiendas con mayor rapidez las solicitudes de información de tus clientes, o de lo contrario aprovecharán cualquier “error” para “ajustar” cuentas.

Como siempre, estaremos encantados de recibir vuestras opiniones.

 

 

NEWS Enero/2014. El 28 de enero, como cada año se celebra el día de la Protección de Datos en Europa

Cada año se celebra en esta fecha el día de la Protección de Datos en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

EUROVIMA se suma a la difusión de este día en apoyo de la Protección de Datos, reiterándoles que como siempre, si necesitan cualquier información sobre el tema o tienen cualquier duda, que somos expertos en materia de Protección de Datos, privacidad, adecuación de páginas web a la LSSI, comercio electrónico y que nuestro departamento de Asesoría LOPDLSSI está disponible para Usted.

Pueden encontrar más información en la página web de la Agencia Española de Protección de Datos

ProtegetusdatosG

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr

Haz marketing pero consulta a tu asesoría protección de datos

Haz marketing, pero antes consulta a tu asesoría de protección de datos

Está visto que algunos hacen cualquier cosa por captar datos de potenciales clientes, pero ya sabemos que en este mundo del marketing, no todo vale, como hemos podido comprobar en la resolución dictada el pasado 30 de septiembre de 2013, por la Agencia Española de Protección de Datos (AEPD) vista la denuncia presentada por un particular en diciembre de 2012, en la que denunciaba haber recibido dos correos electrónicos comerciales no deseados en el que se le solicitaban la aportación de datos personales de terceros, al menos 5 contactos, a cambio de recibir una participación en la lotería de Navidad.

La inspección confirma la veracidad de la denuncia.

La AEPD realiza una inspección a la entidad denunciada, verificando que tiene registrado un fichero de Clientes y que la campaña de marketing se hizo enviando correos a sus Clientes, con un enlace en el que debían cumplimentar los datos de captación solicitados de amistades/conocidos, en definitiva de terceros (nombre, apellidos, dirección correo electrónico y población), datos que posteriormente usarían para enviar correos electrónicos ofreciendo sus productos a esos nuevos “contactos”.

Parece ser que la campaña no tuvo mucho éxito, apenas 47 registros, desistiendo la empresa en realizar finalmente la campaña, borrando los datos durante el proceso de inspección. La AEPD también comprobó que los correos electrónicos del denunciante figuraban en el fichero de clientes del denunciado, demostrando con una factura que contenía sus datos por una compra anterior.

Recordar que el artículo 6.1 de la LOPD señala que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La sentencia habla de doble incumplimiento, pero le aplica el apercibimiento.

Lo curioso de la sentencia, es que la AEPD señala que se producen dos incumplimientos, uno por el envío del correo electrónico cuya finalidad no era la adecuada a su relación como Cliente, es decir, ofrecer sus productos sino “como medio de captación de potenciales clientes a cambio de un beneficio (en este caso, un décimo de lotería)” y otro incumplimiento cuando “la entidad se nutre de una base de datos para envío de publicidad, ya que no tiene el consentimiento de estas personas para tener sus datos.”

La sentencia señala que ha quedado acreditado el tratamiento de los datos del denunciante y de los terceros que fueron incluidos en su base de datos, sin presentar prueba alguna que demuestre el consentimiento ni justificar que concurre alguna de las excepciones al artículo 6.1

En concreto, la AEPD,  con arreglo al artículo 45.6 (ley de economía sostenible) decide apercibir a la entidad, ya que se trata de una infracción grave, no había sido apercibido o sancionado hasta la fecha y al no haber obtenido beneficios de la misma, sin  exigir que la entidad denunciada adopte medida correctora alguna dada la infracción.

En definitiva, antes de hacer una campaña de marketing, consulta con tu asesoría en protección de datos

Habitualmente recalcamos a nuestros clientes, que antes de realizar cualquier tipo de campaña y por el medio que sea, nos consulten sobre la misma, ya que contar con la opinión de expertos en materia de marketing puede ser importante para alcanzar los objetivos perseguidos, pero hacerlo con expertos consultores en protección de datos nos evitará situaciones como la comentada o peores, bien en forma de sanción económica o afectando a nuestra imagen.

Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa)

En abril de 2011 la Policía Municipal de Madrid comunica a la Agencia Española de Protección de Datos (AEPD) una posible infracción de la LOPD motivada porque un “establecimiento” tiene 8 cámaras de vídeo-vigilancia instaladas y no cuentan con los oportunos carteles de zona vídeo-vigilada, ni con los formularios de acceso para los afectados.

La denuncia señala que las 8 cámaras, están conectadas a un monitor central receptor, no pudiendo comprobar el sistema de grabación empleado, observando que se encuentran conectadas a un vídeo y a un módem de una compañía telefónica.

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Los Servicios de Inspección de la Agencia iniciaron actuaciones previas con objeto de determinar si el tratamiento de los datos personales, a través del citado sistema de vídeo-vigilancia, cumplían las condiciones que impone la normativa.

Es de suponer que el establecimiento, antes de la llegada de los Servicios de Inspección de la Agencia, colocaron los carteles preceptivos y editaron el formulario informativo que debe estar a disposición de los ciudadanos acorde a la Instrucción 1/2006, ya que la inspección constató su existencia, aunque por lo que se ve “olvidaron” registrar el fichero ante la AEPD.

La inspección, también constató que las cámaras grababan las imágenes en un grabador sin que se pudiese precisar durante cuánto tiempo, ya que el sistema había sido instalado por los anteriores propietarios y estaba protegido el acceso por una clave que los actuales propietarios decían desconocer y no podían saber (pues la empresa que instaló el sistema ya no existía).

El procedimiento de la AEPD señala que “se pone de manifiesto que las cámaras efectúan grabaciones, no constando que dicho fichero se encuentre inscrito en el Registro General de Protección de Datos de esta Agencia” y la AEPD decide APERCIBIR (A/00050/2012) al  establecimiento por infracción del artículo 26 de la LOPD (“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD”), tipificada como leve por la LOPD.

En este caso, el establecimiento se “iba de rositas”, ya que simplemente debía inscribir en el plazo de un mes (marzo de 2012) dicho fichero, advirtiéndole la Agencia que en caso contrario se iniciaría la apertura de un procedimiento sancionador, como finalmente ha sido.

En éste tiempo, la Agencia por dos veces (mayo y septiembre de 2012) reitera al establecimiento, por medio del servicio de correos con acuse de recibo, lo requerido en el procedimiento de apercibimiento (inscripción de fichero con finalidad de vídeo-vigilancia) sin que se hayan adoptado las medidas correctoras solicitadas.

Por ello el 4 de febrero de 2013, el director de la AEPD acordó iniciar el procedimiento sancionador por presunta infracción del artículo 37.1.f) de la LOPD (“son funciones de la AEPD: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”) tipificada como grave, pudiendo ser sancionada con multa de 40.001 € a 300.000 €, de acuerdo a la LOPD.

Una vez notificado, el Establecimiento formuló alegaciones, entre otras y de manera textual las siguientes:

“…En cuanto tomamos conocimiento de dicha notificación nos pusimos en contacto telefónico con la Agencia Protectora de Datos, solicitando más información sobre el tema, allí muy amablemente la persona que se puso al habla no comunico bien de que iba todo el tema, y nos aclaró que ya hacía bastante tiempo que nos envían notificaciones si respuesta alguna de nuestra parte.

Allí fue nuestro asombro ya que todo lo referente a nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión.

Esta persona por lo visto no les ha presentado ningún tipo de notificación haciendo quedar a la empresa como irresponsable, de todos modo con excusarnos en otra persona no queremos evitar alguna responsabilidad, sino todo lo contrario.

… Por lo expuesto reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos.”

En resumen que la culpa es del gestor (seguramente sea así) y como manifiestan “haciendo quedar a la empresa como irresponsable” aunque ellos insisten en su incomprensión ya que “reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos”.

Estamos seguros que no van a volver a corroborarlo y que ya no se irán de rositas, ya que se le ha impuesto una multa de 6.500€ por la infracción mencionada del artículo 37.1.f) de la LOPD.

II Congreso Nacional de Privacidad ¿Estamos ante un periodo de “Sede Vacante”?

II_Congreso_Privacidad_APEP_2013Los pasados días 13 y 14 de junio de 2013, ha tenido lugar el II Congreso Nacional de Privacidad organizado por la Asociación Profesional Española de Privacidad (APEP).

En un marco idóneo para su celebración (Campus BBVA), nos reunimos gran parte de los asociados de APEP, junto a un buen número de profesionales, empresas y personalidades del ámbito de la privacidad, tanto nacional como internacional.

En esta ocasión, el congreso centró gran parte de su programa en el futuro Reglamento de Protección de Datos de la Unión Europea, en cómo afectará su aprobación (si es que se aprueba) y en general sobre el futuro del tratamiento de datos de carácter personal desde distintas perspectivas:

  • La privacidad Europea frente al otro lado del atlántico.
  • Menores de edad.
  • Los futuros DPO
  • Privacy by design, Privacy impact assessment
  • Gestión de Incidencias de Seguridad.

Quizás el mensaje que más resume el congreso sea que, toma cada vez más consistencia el rumor sobre que el futuro Reglamento de Protección de Datos de la Unión Europea siga siendo “futuro”, pues amén de las 3.000 enmiendas, de lo cercano del fin de la legislatura, de la existencia de desacuerdos importantes y los habituales grupos de presión, habrá otras cuestiones ocultas, que a los “mundanos” se nos escapan, pero que por distintos comentarios de personas/personalidades destacadas en el congreso hacen pensar que esas cuestiones existen y que deben tener un buen peso para que por el momento no sea aprobado.

En todo caso desde mi opinión, la esencia del congreso se ha visto bien respaldada en sus ponencias y por sus ponentes, en los debates generados, en el intercambio de opiniones, de pensamiento, dejando de lado si habrá “fumata blanca” o continuaremos en “sede vacante” y centrándose en los aspectos vinculados a la protección de datos de carácter personal.

Nuestro resumen no se centra en analizar cada una de las ponencias, gira en torno a una serie de palabras, términos o frases que a lo largo de las dos jornadas se han ido repitiendo, no de manera machacona, pero sí en la mayoría de los debates con independencia del tema tratado, a saber:

  • COMPETITIVIDAD.- Leyes-Privacidad-Empresas-Sectores: Global-local
  • Innovación y Big Data: brechas de seguridad
  • Accountability: reputación-diligencia; transparencia y confianza.
  • Redefinición del término “Dato de carácter personal”. Derecho fundamental pero no garantizado.
  • Seguridad frente a Privacidad: 11S y ahora PRISM
  • La armonización gana peso frente a la unificación: la ventanilla única.
  • DPO.- ¿Como gestionar su independencia?

Seguro que estamos de acuerdo en que éstas cuestiones son las que marcan el devenir de la privacidad a nivel global y en que el termino COMPETITIVIDAD cobra un papel predominante.

De cómo quede configurado el futuro reglamento y de su aplicación dependerá que sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Desde la caída de la Torres Gemelas, el debate Seguridad-Privacidad se aviva o se apaga en función de los acontecimientos y quizás los más recientes hagan que el rumbo del futuro reglamento se vea alterado, o no. Mientras, nosotros continuaremos bajo nuestra LOPD y la Directiva vigente aunque los que quieran cumplirla y hacer negocios más allá de la UE lo seguirán teniendo algo más difícil que otros.

En definitiva, creo que el Congreso ha sido un éxito en todos los aspectos, alcanzando el fin y objetivos propuestos, como ha demostrado el gran interés por debatir e intercambiar opiniones en torno a nuestra profesión, transmitiendo además un nivel organizativo, de “saber hacer” y de imagen fabuloso.

No obstante sería bueno que el congreso tuviese continuidad en un marco cuyo alcance no sea meramente el enfocado normativamente a la problemática de aplicación global en términos de privacidad, es decir, sería deseable una continuidad con un enfoque local-nacional de aplicación para los grandes profesionales que hemos conocido y tratado en estos días y que conforman nuestra Asociación.

Todo ello en aras de buscar respuestas y una mejor aplicación de la normativa a la realidad de nuestros clientes, que en la mayoría de los casos, no se enmarca ni gira en torno a esas palabras, términos o frases que antes significábamos y que a modo de resumen decíamos que a lo largo de las dos jornadas se han ido repitiendo.

Confiando en que así sea, gracias y enhorabuena a todas las personas que han participado en el evento y en especial a los implicados en la organización del mismo.

 

NEWS 17/Mayo/2013 Día Mundial de Internet

Como cada año y desde el 2005 , en este 17 de mayo (coincidiendo con la celebración del día de las letras gallegas), se celebra el Día Mundial de las Telecomunicaciones y la Sociedad de la Información –también conocido como Día de Internet-, una jornada que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad.

Os dejamos un enlace con la página web de la AEPD, donde se nos hace una serie de recomendaciones relativas a la privacidad e internet, ya que “La AEPD como miembro del Comité de Impulso de este día en el que participan diversas organizaciones públicas y privadas, quiere fomentar una cultura de protección de los datos personales en el contexto de la Red, de forma que se tenga plena consciencia de los riesgos que pueden desprenderse del mal uso de Internet.

La AEPD asimismo quiere recordar a los padres o tutores que es necesario que adopten una posición activa en relación con el uso de las nuevas tecnologías por parte de los menores”.