Estamos viviendo tiempos complicados. Para muchos de nosotros es una situación inédita y, a menudo, angustiosa. Nos hemos tenido que hacer al confinamiento, el teletrabajo y, como no, al uso intensivo de las tecnologías de la información y la comunicación. Como decía en un post anterior, si algo tiene de bueno la situación, si se puede decir así, es la decidida transformación digital a la que nos hemos sometido todos de la noche a la mañana.

Hasta ahora, términos como videoconferencia, aplicaciones grupales o VPN (red privada virtual) eran términos que conocíamos de forma más o menos vaga. Ahora hablamos de Zoom, de Teams o de cuál es la mejor VPN como verdaderos expertos.

Y precisamente la presión bajo la que vivimos combinada con la necesidad de comunicarnos, trabajar y disfrutar en el confinamiento nos pone en una situación vulnerable. Y de ello sacan provecho desde los hackers con el phishing y otras estafas, como las empresas, en especial las tecnológicas. Y muy especialmente las de comunicaciones como es el caso del que hablamos hoy.

Leíamos el otro día en la revista VICE que la aplicación Zoom con iOS envía datos a Facebook, incluso si no tenemos ninguna cuenta de Facebook. Y esta transferencia de datos a Facebook no está explicada en la política de privacidad de Zoom.

Esta es una de las app que ha experimentado un crecimiento exponencial en esta crisis. Videochat con familia y amigos, reuniones de grupo de la empresa, conferencias y webinars, clases virtuales, servicios religiosos, citas a ciegas e incluso despedidas de soltero, por citar alguno de los servicios que presta Zoom estos días.

La cruz de la app está en la privacidad y la seguridad. No hay cifrado de extremo a extremo (por lo que puede ver la llamada) Y se está dando el efecto «zoombombing», es decir, trolls que intervienen en las llamadas difunden, peso ejemplo, pornografía. Para rematar, la compañía ha informado de que Zoom permite compartir los datos de miles de usuarios sin permiso. Zoom agrupa automáticamente los usuarios según el dominio pq entiende que pertenecen a la misma empresa. Y eso, que tiene ventajas como conexión rápida compartiendo correo, nombre e incluso, fotografía, no siempre es así.

Las ventajas de Zoom son evidentes, empezando porque es gratuita para uso personal. Hay que ver pero si las carencias observadas son tolerables y nos compensan. Caso contrario, buscar alternativas en el mercado.

Y, como siempre, prudencia y sentido común.

Según las predicciones de Forrester para 2020, estamos en el «precipicio del cambio de largo alcance». Entre otros aspectos, el estudio asegura que 2020 será un mal año para el uso de datos de terceros y un buen año para los profesionales del marketing que se tomen en serio la privacidad del consumidor.

La preocupación por la privacidad acelera

Esto es así tanto desde el punto de vista de los usuarios afectados como por parte de las empresas que quieren utilizar datos personales para sus actividades comerciales y de marketing. No digamos para las empresas que tienen como actividad principal la realización profesional de campañas publicitarias.
Cada día más, los consumidores están más preocupados por cómo se recogen sus datos y cómo se usan. En los últimos tiempos, una combinación de noticias sobre brechas de seguridad (algunas con fuerte repercusión mediática como las sanciones impuestas en Facebook), conductas impropias (como las de Google) y el incremento de regulación (y la presión con las primeras sanciones) han hecho que el usuario sea cada día más consciente del peligro que corren sus datos y, también, de los mecanismos que tiene a su disposición para defenderse (como, por ejemplo, el ejercicio de derechos que le reconoce el RGPD , incluyendo la posibilidad de acudir a la autoridad de control, en nuestro caso, el AEPD- si entiende que sus derechos han sido vulnerados).
Las empresas son también cada día más conscientes de que el correcto tratamiento de los datos del usuario tiene mucho que ver con la confianza necesaria que debe establecerse entre las partes para que haya unos transacción económica. Y, también, que el daño reputacional de una mala praxis puede tener consecuencias de largo alcance.
Y los reguladores cada vez son más precisos, aprenden de las experiencias, crean nuevas regulaciones (siguiendo la estela del RGPD) como estamos viendo en California con California Consumer Privacy Act (CCPA) y en New York con la New York Privacy Act (Nypa) y, naturalmente, imponen más sanciones (la autoridad española es, actualmente, líder europeo en número de sanciones -aunque no en importe-).

Previsiones para el 2020

Sea por un consumidor más informado, por las sanciones, la regulación o la tecnología que nos permita mejorar el estado de la técnica, lo que parece claro es que las empresas de marketing ya no podrán confiar en datos agregados de terceros para dirigirse a sus consumidores.
Las empresas preferirán conectar con los clientes a través de experiencias personalizadas y se estima que incrementarán en un 10% el presupuesto para el marketing de influencia.
No se puede predecir en qué medida se conseguirá cambiar el marketing basado en datos agregados a un marketing de influencia pero la tendencia parece indiscutible para los próximos años.

Cumplir con el Reglamento General de Protección de Datos cuando hacemos e-mail marketing, no es complejo. Basta observar unas buenas prácticas y añadir dosis de prudencia y sentido común. A continuación repasamos algunas.

Mantener listas limpias pidiendo confirmación ( «double opt-in«)

Cuando el interesado nos envíe sus datos a través de un formulario, envíen un correo de confirmación en el que debe confirmar su suscripción. Así tendremos listas más limpias y confiables.

Procesar los datos personales bajo la base de legitimación correcta

Podemos tratar los datos de los interesados ​​por diferentes propósitos pero debemos determinar siempre cuál es la base legal que nos legitima a hacerlo: Consentimiento inequívoco, Necesidad contractual, Obligación legal, Interés legítimo, Interés público e Interés vital del interesado.

Obtener el consentimiento explícito antes de enviar correos de marketing

Si la base legal es la de Consentimiento inequívoco, enviamos los e-mails de consentimiento a los suscriptores. De este modo, nos aseguramos de que aquellos suscriptores que han mostrado interés, por ejemplo en ferias, convenciones, webinars, …, han expresado explícitamente su consentimiento para recibir nuestras comunicaciones. Y tendremos que ofrecer también la posibilidad de denegar el consentimiento.

Informar al usuario

El usuario tiene el derecho a que se le informe, expresamente o por remisión a la Política de Privacidad, de quién es el responsable del tratamiento, la finalidad, la base de legitimación, la conservación y comunicación de los datos, los derechos que asisten a los usuarios y forma de ejercerlos. Además de cumplir con la normativa, generamos confianza en el usuario.

Ser transparentes con los datos de los usuarios

En virtud al Derecho de acceso que reconoce el RGPD, el usuario tiene que poder acceder a sus datos personales cuando lo pida. Puede pedir, también, que se le faciliten estos datos en formato digital, legible por máquinas.

Decir claramente quiénes somos

Facilitamos nuestros datos: nombre de la empresa responsable de los datos, CIF, dirección electrónica (específica para protección de datos) y postal y un número de teléfono de contacto. Generamos confianza y facilitamos la comunicación.

Explicar de donde hemos sacado los datos

O, lo que es lo mismo, explicar a los suscriptores como los hemos conocido y por qué están en nuestra lista.

Dejamos elegir lo que quieren recibir

Diferenciamos nuestra oferta de forma que se pueda elegir, con una acción positiva, la información que los suscriptores quieren recibir, sin condicionarlo. Hagámoslo fácil para todos.

Permitir la modificación / eliminación de datos personales

Los suscriptores podemos pedir modificar o eliminar su información personal de nuestros registros. Son derechos que recoge el RGPD. Y es nuestra obligación facilitar los mecanismos necesarios para poder ejercerlos.

Protegemos la información

La protección de los datos es un aspecto clave del RGPD. Debemos tener cuidado de almacenar los datos personales con la máxima seguridad, controlando el acceso, cifrando y haciendo las preceptivas copias de seguridad.

Garantizar todo con una Política de Privacidad

En todas las comunicaciones debemos añadir un enlace a la Política de Privacidad. Y a la hora de recoger el consentimiento, debemos disponer de una casilla que el usuario debe marcar conforme ha leído y acepta la Política de Privacidad. Esta Política debe explicar, al menos, quién es el responsable del tratamiento, la finalidad, la base de legitimación, la conservación y comunicación de los datos, los derechos que asisten a los usuarios y forma de ejercerlos.

Primera sanción de la AEPD por no cumplir la normativa respecto a la utilización de cookies en su página web a la compañía Vueling . 

Según el usuario denunciante, «la Web de la compañía no permite utilizar las cookies estrictamente necesarias y además huelga una acción afirmativa y positiva que no se pueda malinterpretar el consentimiento y lo asumen simplemente al visitar su página web».  

Una vez realizadas las oportunas comprobaciones, según la Agencia, la empresa no cumple con las condiciones que impone la normativa en vigor. En los fundamentos de derecho dice que «si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la  instalación de estas en el dispositivo o de cualquier otra cookies».

Además, no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. 

Los hechos expuestos, prosigue la Agencia, podrían suponer por parte de la empresa reclamada, la comisión de la infracción del artículo 22.2 de la LSSI¹, según el cual: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal».

Esta Infracción estas tipificada como leve en el artículo 38.4 g), de la citada Ley, que considera como tal: “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”, pudiendo ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39 de la citada LSSI.

Finalmente, la Agencia, tras las evidencias obtenidas en la fase de investigaciones previas, considera que procede graduar la sanción a imponer en la cuantía de 30.000€. Como sea que ha habido reconocimiento de la responsabilidad por parte de la empresa, la sanción se ha reducido hasta los 18.000€.

Leer la Resolución completa aquí.

¹ LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

 

 

Ricard Castellet, director de TecnoLaywer, ha impartido una formación sobre Protección de Datos y Ciberseguridad en el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

Los agentes de la propiedad inmobiliaria han conocido de primera mano las obligacions en materia de protección de datos personales que tienen que cumplir, así como las medidas organizativas y técnicas que estos tienen que realizar para adecuar su actividad a la normativa vigente. También ha informado sobre algunas de las primeras sanciones – apercebiments y multas- que ha impuesto la AEPD (Agencia Española de Protección de Datos) a empresas de diferente tipología.

La sesión se ha complementado con un taller práctico para resolver las cuestiones específicas de las agencias en la aplicación de la normativa. Así mismo, se ha introducido el concepto de ciberseguridad para concienciar a las agencias sobre su vulnerabilidad de los equipos y software respecto a los ciberataques.

Esta formación se imparte en el marco del convenio de colaboración de TecnoLawyer con el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

A finales de abril de este año, se han conocido las primeras resoluciones sancionadoras emitidas por la Agencia Española de Protección de Datos (AEPD) en las que se aplica la nueva normativa de protección de datos. Las sanciones impuestas son multas o apercibimientos.

Los principales actos sancionados con multa han sido por las siguientes causas:

Por enviar a una persona al fichero de morosidad:

• Infringiendo el principio de exactitud de los datos 5.000 €- (a Vodafone)
• Vulnerando el consentimiento 28.000 €-
• Vulnerando el principio de calidad en relación con los ficheros de morosidad 24.000 €-.
• Por incumplir los requisitos para enviar una persona al fichero de morosidad 2.500€-

Por recibir más de 200 SMS a pesar de que había ejercitado del derecho de cancelación del servicio

• Por falta de diligencia en el tratamiento de datos al no ejercer el derecho de cancelación de un servicio 45.000 €-. (a Vodafone)

Vodafone es una de las empresas que más sanciones sufre en materia de protección de datos

Las sanciones con multa tienen una reducción del 20% por reconocimiento de responsabilidad y de otro 20% por pago voluntario.

Los principales actos sancionados con apercibimiento -sin sanción económica- han sido por las siguientes causas:

Videovigilancia

• Por grabar en la vía pública y en algún caso por no informar de ello. Se han sancionado con apercibimientos a bares, tabernas y particulares.

Envío de correo electrónico sin copia oculta

• Por envíos a direcciones de correo electrónico sin ocultar las direcciones de los destinatarios por parte de pequeñas empresas. Ninguna de ellas había sido comunicada como brecha de seguridad.

Brechas de seguridad

• Por utilización de terminales de teléfono expuestos a disposición de potenciales clientes desde los que se podía acceder a datos personales de empleados y clientes por parte de 2 tiendas de teléfonos móviles
• Por tener en la basura documentos con datos personales de alumnos por parte de una cooperativa que gestiona un centro de enseñanza. La policía local vio como las trabajadoras de la limpieza tiraban a la basura los documentos y denunció al colegio ante la AEPD. La Junta Directiva tuvo que ser destituida por este motivo.

Imágenes de menores

• Por tomar fotografías a un menor de 5 años sin consentimiento de quien ostenta la patria potestad por parte de una feria de atracciones.
• Por realizar fotos de menores, sin consentimiento, para comercializar unos calendarios denunciado por parte del AMPA. Las familias habían dado el consentimiento al colegio, pero no al AMPA. El padre de uno de los menores interpuso reclamación ante la AEPD.

Publicación de datos en la web

• Un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa
• Publicación en la web de una asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales

En vista de estas actuaciones, para las sanciones con apercibimiento parece ser suficiente con que se acredite la toma de medidas organizativas y/o técnicas o bien se informe de la intención de no volver a incurrir en la acción sancionada.

Estas han sido las primeras sanciones que se han dado a conocer. Se prevé que, a partir de septiembre, la acción sancionadora de la AEPD se intensifique.