Cumplir con el Reglamento General de Protección de Datos cuando hacemos e-mail marketing, no es complejo. Basta observar unas buenas prácticas y añadir dosis de prudencia y sentido común. A continuación repasamos algunas.

Mantener listas limpias pidiendo confirmación ( «double opt-in«)

Cuando el interesado nos envíe sus datos a través de un formulario, envíen un correo de confirmación en el que debe confirmar su suscripción. Así tendremos listas más limpias y confiables.

Procesar los datos personales bajo la base de legitimación correcta

Podemos tratar los datos de los interesados ​​por diferentes propósitos pero debemos determinar siempre cuál es la base legal que nos legitima a hacerlo: Consentimiento inequívoco, Necesidad contractual, Obligación legal, Interés legítimo, Interés público e Interés vital del interesado.

Obtener el consentimiento explícito antes de enviar correos de marketing

Si la base legal es la de Consentimiento inequívoco, enviamos los e-mails de consentimiento a los suscriptores. De este modo, nos aseguramos de que aquellos suscriptores que han mostrado interés, por ejemplo en ferias, convenciones, webinars, …, han expresado explícitamente su consentimiento para recibir nuestras comunicaciones. Y tendremos que ofrecer también la posibilidad de denegar el consentimiento.

Informar al usuario

El usuario tiene el derecho a que se le informe, expresamente o por remisión a la Política de Privacidad, de quién es el responsable del tratamiento, la finalidad, la base de legitimación, la conservación y comunicación de los datos, los derechos que asisten a los usuarios y forma de ejercerlos. Además de cumplir con la normativa, generamos confianza en el usuario.

Ser transparentes con los datos de los usuarios

En virtud al Derecho de acceso que reconoce el RGPD, el usuario tiene que poder acceder a sus datos personales cuando lo pida. Puede pedir, también, que se le faciliten estos datos en formato digital, legible por máquinas.

Decir claramente quiénes somos

Facilitamos nuestros datos: nombre de la empresa responsable de los datos, CIF, dirección electrónica (específica para protección de datos) y postal y un número de teléfono de contacto. Generamos confianza y facilitamos la comunicación.

Explicar de donde hemos sacado los datos

O, lo que es lo mismo, explicar a los suscriptores como los hemos conocido y por qué están en nuestra lista.

Dejamos elegir lo que quieren recibir

Diferenciamos nuestra oferta de forma que se pueda elegir, con una acción positiva, la información que los suscriptores quieren recibir, sin condicionarlo. Hagámoslo fácil para todos.

Permitir la modificación / eliminación de datos personales

Los suscriptores podemos pedir modificar o eliminar su información personal de nuestros registros. Son derechos que recoge el RGPD. Y es nuestra obligación facilitar los mecanismos necesarios para poder ejercerlos.

Protegemos la información

La protección de los datos es un aspecto clave del RGPD. Debemos tener cuidado de almacenar los datos personales con la máxima seguridad, controlando el acceso, cifrando y haciendo las preceptivas copias de seguridad.

Garantizar todo con una Política de Privacidad

En todas las comunicaciones debemos añadir un enlace a la Política de Privacidad. Y a la hora de recoger el consentimiento, debemos disponer de una casilla que el usuario debe marcar conforme ha leído y acepta la Política de Privacidad. Esta Política debe explicar, al menos, quién es el responsable del tratamiento, la finalidad, la base de legitimación, la conservación y comunicación de los datos, los derechos que asisten a los usuarios y forma de ejercerlos.

Primera sanción de la AEPD por no cumplir la normativa respecto a la utilización de cookies en su página web a la compañía Vueling . 

Según el usuario denunciante, «la Web de la compañía no permite utilizar las cookies estrictamente necesarias y además huelga una acción afirmativa y positiva que no se pueda malinterpretar el consentimiento y lo asumen simplemente al visitar su página web».  

Una vez realizadas las oportunas comprobaciones, según la Agencia, la empresa no cumple con las condiciones que impone la normativa en vigor. En los fundamentos de derecho dice que «si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la  instalación de estas en el dispositivo o de cualquier otra cookies».

Además, no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. 

Los hechos expuestos, prosigue la Agencia, podrían suponer por parte de la empresa reclamada, la comisión de la infracción del artículo 22.2 de la LSSI¹, según el cual: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal».

Esta Infracción estas tipificada como leve en el artículo 38.4 g), de la citada Ley, que considera como tal: “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”, pudiendo ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39 de la citada LSSI.

Finalmente, la Agencia, tras las evidencias obtenidas en la fase de investigaciones previas, considera que procede graduar la sanción a imponer en la cuantía de 30.000€. Como sea que ha habido reconocimiento de la responsabilidad por parte de la empresa, la sanción se ha reducido hasta los 18.000€.

Leer la Resolución completa aquí.

¹ LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

 

 

Ricard Castellet, director de TecnoLaywer, ha impartido una formación sobre Protección de Datos y Ciberseguridad en el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

Los agentes de la propiedad inmobiliaria han conocido de primera mano las obligacions en materia de protección de datos personales que tienen que cumplir, así como las medidas organizativas y técnicas que estos tienen que realizar para adecuar su actividad a la normativa vigente. También ha informado sobre algunas de las primeras sanciones – apercebiments y multas- que ha impuesto la AEPD (Agencia Española de Protección de Datos) a empresas de diferente tipología.

La sesión se ha complementado con un taller práctico para resolver las cuestiones específicas de las agencias en la aplicación de la normativa. Así mismo, se ha introducido el concepto de ciberseguridad para concienciar a las agencias sobre su vulnerabilidad de los equipos y software respecto a los ciberataques.

Esta formación se imparte en el marco del convenio de colaboración de TecnoLawyer con el Col·legi i Associació d’Agents Immobiliaris de Catalunya.

A finales de abril de este año, se han conocido las primeras resoluciones sancionadoras emitidas por la Agencia Española de Protección de Datos (AEPD) en las que se aplica la nueva normativa de protección de datos. Las sanciones impuestas son multas o apercibimientos.

Los principales actos sancionados con multa han sido por las siguientes causas:

Por enviar a una persona al fichero de morosidad:

• Infringiendo el principio de exactitud de los datos 5.000 €- (a Vodafone)
• Vulnerando el consentimiento 28.000 €-
• Vulnerando el principio de calidad en relación con los ficheros de morosidad 24.000 €-.
• Por incumplir los requisitos para enviar una persona al fichero de morosidad 2.500€-

Por recibir más de 200 SMS a pesar de que había ejercitado del derecho de cancelación del servicio

• Por falta de diligencia en el tratamiento de datos al no ejercer el derecho de cancelación de un servicio 45.000 €-. (a Vodafone)

Vodafone es una de las empresas que más sanciones sufre en materia de protección de datos

Las sanciones con multa tienen una reducción del 20% por reconocimiento de responsabilidad y de otro 20% por pago voluntario.

Los principales actos sancionados con apercibimiento -sin sanción económica- han sido por las siguientes causas:

Videovigilancia

• Por grabar en la vía pública y en algún caso por no informar de ello. Se han sancionado con apercibimientos a bares, tabernas y particulares.

Envío de correo electrónico sin copia oculta

• Por envíos a direcciones de correo electrónico sin ocultar las direcciones de los destinatarios por parte de pequeñas empresas. Ninguna de ellas había sido comunicada como brecha de seguridad.

Brechas de seguridad

• Por utilización de terminales de teléfono expuestos a disposición de potenciales clientes desde los que se podía acceder a datos personales de empleados y clientes por parte de 2 tiendas de teléfonos móviles
• Por tener en la basura documentos con datos personales de alumnos por parte de una cooperativa que gestiona un centro de enseñanza. La policía local vio como las trabajadoras de la limpieza tiraban a la basura los documentos y denunció al colegio ante la AEPD. La Junta Directiva tuvo que ser destituida por este motivo.

Imágenes de menores

• Por tomar fotografías a un menor de 5 años sin consentimiento de quien ostenta la patria potestad por parte de una feria de atracciones.
• Por realizar fotos de menores, sin consentimiento, para comercializar unos calendarios denunciado por parte del AMPA. Las familias habían dado el consentimiento al colegio, pero no al AMPA. El padre de uno de los menores interpuso reclamación ante la AEPD.

Publicación de datos en la web

• Un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa
• Publicación en la web de una asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales

En vista de estas actuaciones, para las sanciones con apercibimiento parece ser suficiente con que se acredite la toma de medidas organizativas y/o técnicas o bien se informe de la intención de no volver a incurrir en la acción sancionada.

Estas han sido las primeras sanciones que se han dado a conocer. Se prevé que, a partir de septiembre, la acción sancionadora de la AEPD se intensifique.

Con efecto a partir del próximo 12 de mayo de 2019, el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, modifica el art. 34 del Estatuto de los Trabajadores, instaurando el deber de la empresa de garantizar el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria existente.

El objetivo es, por una parte, computar las horas extraordinarias de los trabajadores mediante el registro de las horas realizadas cada día y, por otra, controlar el tiempo de trabajo de los trabajadores a tiempo parcial.

Como es natural, los especialistas en Derecho laboral nos darán las pautas a seguir desde su punto de vista. Lo que a nosotros nos preocupa, como no, son las vulnerabilidades en materia de protección de datos que la nueva obligación plantea.

Y lo hace, al menos, en tres aspectos.

1. La forma de registro
2. La conservación de la información
3. La disponibilidad de los registros.

1. La forma de registro queda a discreción de la empresa (previa consulta a los trabajadores). Y puede ser desde una simple hoja de Excel hasta un sofisticado sistema de geolocalización, pasando por controles biométricos (Art. 9.1.a) RGPD[1]) u otros. En este aspecto, el peligro proviene de utilizar medios invasivos o claramente desproporcionados como, por ejemplo, el control por huella digital o reconocimiento facial o la monitorización constante mediante sistemas de geolocalización.

2. La conservación de la información es el segundo aspecto a tener en cuenta. Aunque los datos no sean de categoría especial (se recogen habitualmente el nombre, la fotografía, número de empleado, etc.), debemos conservarlos adecuadamente (como con todos los datos personales). Si guardamos datos biométricos o similares, la conservación debe ser especialmente segura. Hay que tener en cuenta que la norma exige su conservación por el plazo de cuatro años.

3. La disponibilidad de los registros es el último. Dice la normativa que estos deben permanecer a disposición del trabajador, sus representantes y la Inspección de Trabajo y Seguridad Social. Esta disponibilidad conlleva ciertamente peligros desde la óptica de la protección de datos como son el acceso a los registros por personas no autorizadas o la distribución de forma inadecuada.

Para concluir, unas recomendaciones generales, entendiendo que cada empresa es un mundo y que no es lo mismo, por ejemplo, una empresa de servicios que una empresa industrial.  Por lo que respecta al registro, buscar un sistema mínimamente invasivo, que no haga uso de datos biométricos. Siguiendo el Reglamento, usar los datos mínimos imprescindibles. En cuanto a la conservación –y la disponibilidad–, es recomendable utilizar medios tecnológicos contrastados (descartamos el papel y la hoja de Excel), que permitan demostrar el cálculo de horas sin posible manipulación y que se puedan facilitar, a terceros, sin poner en peligro la información (distribución seudonimizada). Una app en la nube podría ser la mejor solución. Pero solo es una opinión.

Como consultores en Derecho Digital, estamos al servicio de la empresa. Podéis contactar con nosotros en info@tecnolawyer.com. Estaremos encantados de prestaros ayuda.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)

Si nadie, ni siquiera los abogados*, leemos los Términos y Condiciones, ¿qué sentido tiene ponerlos? Porque no solo hay que leerlos, sino entenderlos. Y solo en el supuesto que estés de acuerdo podrás instalar la app o acceder a la web.

Según un estudio de la Carnegie Mellon, la extensión media de las políticas de privacidad es de unas 2.500 palabras. Se estima que un lector medio puede leer alrededor de 250 palabras por minuto de promedio. Es decir, necesitamos 10 minutos para leer la política. Teniendo en cuenta que visitamos de promedio unas 1.400 webs y apps al año, necesitamos, en términos de jornadas laborales de 8 horas, unos 76 días de trabajo para completar la tarea. Si lo trasladamos a términos económicos, según la universidad, el coste de oportunidad de leer las políticas de privacidad en USA estaría alrededor de 800.000 millones de dólares.

Estamos ya en la economía del dato y nuestras actividades en el entorno digital pueden revelar información nuestra de formas insospechadas. Las empresas pueden conocer datos nuestros pero también datos de otras personas de nuestro entorno que no han aceptado siquiera los términos y condiciones. Roomba podría mapear nuestro hogar y esa información ser compartida con, por ejemplo, fabricantes de muebles o compañías de seguros. O Uber que podría modificar el precio del trayecto en función del nivel de batería de nuestro teléfono. Y solo son dos ejemplos.

Los ciudadanos no podemos defendernos solos ni estar gobernados por los términos y condiciones de las grandes, y no tan grandes, empresas y corporaciones. Por eso Europa lidera, a nivel mundial, el camino con el RGPD (y en España además con la LOPDGDD), en defensa de nuestros datos estableciendo unas garantías básicas que nos permitan vivir sin tener que leer, entender y aceptar toda la jerga legal de los términos y condiciones.

 

 

 

 

 

 

 

 

*Exceptuando a Jorge Morell Ramos de terminosycondiciones.es.

La Unión Europea ha informado que, desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, las brechas de datos no han parado de crecer en las empresas europeas, alcanzando casi los 60.000 casos.

Los incumplimientos van desde errores de menor calado hasta importantes ataques cibernéticos que han sido denunciados por organizaciones públicas y privadas de los 26 países de la Unión Europea

En el primer semestre de 2018 las brechas de datos afectaron a 4,5 millones de registros, según Gemalto Breach Level Index, lo que significa un 78% más que en el mismo periodo del año anterior.

Holanda es el país con mayor cantidad de brechas de datos por habitante, con un 89,8% por cada 100 habitantes. Liechtenstein, Islandia y Chipre son los países con una menor incidencia.

La UE ha dictado 91 multas relacionadas con brechas de datos, siendo la mayor de ellas la impuesta por el regulador francés a Google por valor de 50 millones de euros al haber infringido las normas de la UE sobre protección de datos de los consumidores.

En el Reino Unido el valor promedio de las multas impuestas por el regulador de datos británico fue de 166.650 euros en 2018, el doble que en el año anterior.

El impacto de las brechas de datos va más allá de las posibles multas, afectando no sólo a la tesorería sino también a la reputación de la empresa y, en muchos casos, a la pérdida de usuarios o clientes y las caída de las cotizaciones.

La Comisión Europea adoptó el pasado 23 de enero una decisión de adecuación para Japón, creando el mayor espacio de flujo de datos seguros del mundo. Esto significa que los datos personales fluirán libremente entre las dos economías sobre la base de garantías sólidas de protección.

Los elementos esenciales de la decisión de adecuación son, primero, un conjunto de normas adicionales que permitirán reducir algunas diferencias entre los dos sistemas de protección de datos, en particular, en materia de datos sensibles, ejercicio de derechos individuales y las condiciones de transferencia a terceros países. En segundo lugar, un mecanismo de tramitación de reclamaciones con el que se puedan investigar y resolver las reclamaciones de los ciudadanos europeos.

Vĕra Jourová, comisaria de Justicia, Consumidores e Igualdad de Género, declaró: «Esta decisión de adecuación crea la mayor área mundial de flujos de datos seguros. Los datos de los europeos se beneficiarán de unas normas de privacidad estrictas cuando sus datos se transfieran a Japón. Nuestras empresas también se beneficiarán de un acceso privilegiado a un mercado de 127 millones de consumidores. La inversión en la protección de la vida privada es rentable; este acuerdo servirá de ejemplo para las futuras asociaciones en este ámbito clave y ayudará a establecer normas mundiales.» 

Esta decisión de adecuación para Japón es relevante por tres motivos: el elevado número de consumidores de ambas economías, la potencia económica que representa Japón (PIB superior a los 4 billones de €) y el alto grado de penetración de la tecnología en su población. Estas tres variables hacen que para la UE esta iniciativa suponga una apuesta de confianza por el país asiático y por sus autoridades de protección de datos.